Клиент создает электронную подпись открытый и закрытый ключи корреспонденту передается

Из нашей статьи вы узнаете:

ЭЦП — электронная (цифровая) подпись — это аналог рукописной подписи. Она выполняет ту же функцию — обеспечивает юридическую значимость для документов. Только подписывают с помощью ЭЦП документы не бумажные, а электронные. Кроме того, электронная подпись фиксирует информацию, которая была в документе на момент подписания, тем самым подтверждая её неизменность. В статье рассмотрим, что значит электронная подпись.

Содержание

Как устроена электронная подпись
Программы для работы и алгоритмы шифрования
Принцип работы электронной подписи
Виды электронной подписи
Как происходит подписание документа с помощью ЭЦП
Как начать работать с квалифицированной электронной подписью
Какие типы электронных подписей бывают
Простая электронная подпись
Неквалифицированная электронная подпись (НЭП)
Квалифицированная электронная подпись (КЭП)
Возможности электронной подписи
Тенденции рынка электронной подписи
Сертификат открытого ключа
Термины
Извлекаемые ключи
Неизвлекаемые ключи
Доступ к закрытому ключу
Пассивные ключевые носители
Активные ключевые носители
Функциональный ключевой носитель (ФКН)
Средства генерации ключевых пар
ФКН-ключи
Сертификация устройств
Заключение
Что такое электронная подпись
Зачем нужна электронная подпись
Как устроена ЭП
Виды ЭП и их отличия
Где можно использовать электронную подпись
Как приобрести подпись компании и ИП
Как получить подпись доверенному лицу организации или ИП
Как приобрести подпись обычному человеку или самозанятому
Расходы на электронную подпись в Москве для компаний и ИП —
Как проверить подлинность подписи

Как устроена электронная подпись

Электронная цифровая подпись — это устройство со сложной технической составляющей.

Электронная подпись состоит из двух основных частей:

Эти составные части выполняют разные функции: с помощью закрытого ключа, доступного только владельцу, документ шифруется, а с помощью сертификата, доступного для всех, документ дешифруется. Таким образом, достигается цель использования ЭЦП — подтверждается то, кем был подписан документ, и заверяется его неизменность с момента подписания.

ЭЦП: ТОРГОВАЯ ПЛОЩАДКА В 2 В ЦЕНТР И ПОКУПКИ ТОВАРОВ И УСЛУГ НА САЙТЕ ЭЛЕКТРОННОЙ ТОРГОВОЙ ПЛОЩАДКИ В 2 В ЦЕНТР

Закрытый ключ не содержит в себе ничего, кроме механизма, с помощью которого он может шифровать документы. Сертификат же несёт в себе такую полезную информацию, как сведения о владельце, сведения об удостоверяющем центре, срок действия цифровой электронной подписи и т.д. Сертификат выступает в роли главного носителя информации о ЭЦП.

Программы для работы и алгоритмы шифрования

С ЭЦП не получится работать сразу. Чтобы шифровать и подписывать документы, недостаточно только иметь сертификат и закрытый ключ, для работы нужно устанавливать специальные программы. С помощью этих программ, которые работают по определённому стандарту шифрования (в России — ГОСТ 34.10-2018), обеспечивается связь закрытого и открытого ключа с документами.

Расшифровка ЭЦП: электронная цифровая подпись. Данное понятие является устаревшим. Сегодня используется термин — электронная подпись, сокращённо ЭП.

Одной из самых популярных программ-криптопровайдеров в России является «КриптоПро CSP». С её помощью можно подписывать и шифровать документы, проверять сертификаты на подлинность, контролировать целостность соответствующего программного обеспечения.

Принцип работы электронной подписи

Электронная подпись работает по асимметричному принципу шифрования. То есть документ зашифровывается с помощью закрытого ключа, а расшифровывается с помощью открытого.

Объясним принцип работы ЭЦП на пальцах. Подписание документа производится в несколько этапов:

Виды электронной подписи

Существует три вида ЭП, которые используют для различных ситуаций. Рассмотрим, какой может быть электронная подпись, понятие, виды и применение.

Как происходит подписание документа с помощью ЭЦП

Система подписания документов с помощью электронной подписи выглядит следующим образом:

Закрытый ключ электронной подписи хранят в памяти компьютера или физических носителях: USB-токенах и смарт-картах. Согласно закону «Об электронной подписи» 63-ФЗ, ответственность за хранение закрытого ключа несёт владелец.

Как начать работать с квалифицированной электронной подписью

Для работы с КЭП требуется настроить рабочее место: установить СКЗИ и специальный плагин на компьютер. А получить квалифицированную электронную подпись можно только в удостоверяющих центрах. Финансовым участникам рынка КЭП выдают в Центробанке, работникам бюджетных учреждений — в Казначействе, а индивидуальным предпринимателям и юрлицам в УЦ ФНС и её доверенных лиц.

Для ускоренного выпуска квалифицированной ЭП юрлица и ИП рекомендуем воспользоваться услугой Получение КЭП в ФНС под ключ. Специалисты УЦ «Калуга Астрал» помогут сэкономить время на получение электронной подписи и настройку рабочего места, а пройти идентификацию и получить подпись вы сможете через филиалы нашего партнёра — доверенного лица УЦ «Основание».

Работники индивидуальных предпринимателей получают квалифицированную подпись только в удостоверяющих центрах, которые аккредитованы Минцифры.

УЦ «Калуга Астрал» входит в перечень аккредитованных удостоверяющих центров и имеет все необходимые лицензии для выпуска электронных подписей для физлиц и работников ЮЛ/ИП — «Астрал-ЭТ» и «1С-ЭТП». Данные продукты придают цифровым документам юридическую значимость и позволяют вести деятельность от имени компании.

Любое взаимодействие, которое осуществляется с помощью электронной подписи, регулируется Федеральным законом № 63 «Об электронной подписи».

Документ даёт следующее определение: электронная подпись — это электронная информация, которая, будучи присоединённой к другой электронной информации или иным способом связанной с ней, позволяет определить личность лица, подписавшего документ.

В статье рассмотрим, какие типы электронных подписей существуют и как с ними работать.

Какие типы электронных подписей бывают

Законом предусмотрены три типа ЭЦП: простая электронная подпись (ПЭП), неквалифицированная электронная подпись (НЭП) и квалифицированная электронная подпись (КЭП). Также существуют понятия ЭП и ЭЦП.

Как расшифровывается ЭЦП и ЭП
Это сокращения. Э П — это электронная подпись, а ЭЦП — это электронная цифровая подпись. Э ЦП — название устаревшее, но употребляется до сих пор.

Простая электронная подпись

Признаки простой электронной подписи
Это подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определённым лицом.

Где используют ПЭП
Простая электронная подпись может присоединяться к электронному документу или быть просто связана с ним. Ключ простой ЭП применяется в соответствии с правилами, установленными оператором информационной системы, с помощью которой формируется электронный документ. В созданном документе или отдельно от него содержится информация, указывающая на лицо, от имени которого он был создан

Где не используют ПЭП
Простая электронная подпись не может быть использована для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну.

Неквалифицированная электронная подпись (НЭП)

Признаки неквалифицированной электронной подписи (НЭП)
Это усиленная электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи. Н ЭП идентифицирует отправителя и подтверждает, что с момента подписания документ не менялся. Н ЭП записывается на облачное хранилище или ключевой носитель — токен.

Ключевой носитель для электронной подписи выпускается в виде USB-флешки, компактного USB-носителя или смарт-карты. На нём может храниться как НЭП, так и КЭП.

При использовании НЭП используются открытый и закрытый ключ. Закрытый ключ генерирует подпись совместно с программой криптошифрования. Открытый ключ доступен всем участникам взаимодействия. Он связан с закрытым ключом и позволяет участникам ЭДО проверить подлинность поставленной подписи. Информацию о принадлежности открытого ключа к закрытому указывают в сертификате ЭЦП. Наличие сертификата у НЭП обязательно.

Где используют неквалифицированную электронную подпись (НЭП)
Применяется неквалифицированная электронная подпись (НЭП) для документов, которые не требуют заверения печатью. Н ЭП используют во внутренних системах электронного документооборота компании.

Неквалифицированная электронная подпись (НЭП) приравнивает документ к собственноручно подписанному с печатью организации только в случае, если:

Этот вид ЭЦП выпускается с использованием специального программного комплекса.

Где не используют неквалифицированную электронную подпись (НЭП)
Неквалифицированная электронная подпись (НЭП) не может быть приравнена к рукописной подписи, если у сторон нет дополнительного соглашения или не существует нормативно-правового акта. Сдавать отчётность в государственные органы и участвовать в торгах с неквалифицированной подписью (НЭП) не получится.

Где получить неквалифицированную электронную подпись (НЭП)
Неквалифицированную электронную подпись (НЭП) можно получить в аккредитованных и неаккредитованных удостоверяющих центрах или, например, в личном кабинете ФНС.

Неквалифицированная электронная подпись (НЭП) ФНС выдаётся бесплатно. Её выпуск осуществляется через личный кабинет налогоплательщика. Работать с НЭП ФНС можно только на сайте налоговой. Взаимодействовать с контрагентами, даже при наличии дополнительного соглашения, у владельца НЭП ФНС не получится.

Для получения в аккредитованном удостоверяющем центре необходимо лично явиться в отделение организации с пакетом документов и оформить на себя НЭП. Также можно удалённо выпустить ключи НЭП. Для этого нужно воспользоваться одним из вариантов: получение с помощью КЭП, загранпаспорта нового образца с биометрией или ЕСИА и единой биометрической системы. Также существуют решения, позволяющие выпускать неквалифицированные электронные подписи (НЭП) массово на всех сотрудников. Его интегрируют в информационную систему внутреннего и кадрового электронного документооборота.

Для массового выпуска неквалифицированных электронных подписей сотрудников рекомендуем сервис «API УНЭП». Решение автоматизирует внутренние процессы кадрового документооборота и наделяет данные документы юридической силой.

Квалифицированная электронная подпись (КЭП)

Каким признакам соответствует квалифицированная электронная подпись
К признакам квалифицированной электронной подписи относится соответствие всем признакам НЭП. К ЭП также содержит открытый ключ и закрытый ключ. Такой вид подписи обязательно должен иметь сертификат. Квалифицированная электронная подпись так же, как и НЭП, записывается на ключевой носитель.

Для создания и проверки такой подписи используются средства криптографической защиты, которые сертифицированы ФСБ РФ. Усиленная квалифицированная электронная подпись подтверждается сертификатом от аккредитованного удостоверяющего центра.

Где используют КЭП
За счёт регламентированных правил выпуска и описания структуры электронной подписи в Федеральном законе № 63-ФЗ «Об электронной подписи» её можно использовать в информационных системах без необходимости описания применения в регламенте или в соглашении сторон.

Квалифицированная электронная подпись значительно расширяет круг возможностей пользователя. Имея такую ЭЦП, можно осуществлять гражданско-правовые сделки, оказывать и получать государственные и муниципальные услуги, сдавать налоговую отчётность, участвовать в электронных торгах и совершать другие юридически значимые действия через интернет.

Квалифицированная электронная подпись (КЭП, ЭЦП) является абсолютным аналогом подписи гражданина, поставленной собственноручно. Согласно законодательству, КЭП придаёт юридическую значимость подписанному электронному документу. И П и руководитель организации получают такой вид подписи только на ключевых носителях, сертифицированных ФСБ или ФСТЭК.

Где получить КЭП
В зависимости от статуса пользователя КЭП выдают в разных удостоверяющих центрах (УЦ). Руководитель юридического лица или индивидуальный предприниматель получает подпись в УЦ ФНС или её доверенных лиц. Получателю необходимо собрать пакет документов, купить ключевой носитель и лично явиться в отделение ведомства. Клиенты обслуживаются в порядке очереди по графику филиала.

Налоговая записывает на ключевой носитель файлы для создания ЭЦП: закрытый ключ, открытый ключ и сертификат. Ведомство делает их неэкспортируемыми. Пользователь не сможет перенести или скопировать данные на другое устройство.

УЦ «Калуга Астрал» входит в перечень аккредитованных удостоверяющих центров и имеет все необходимые лицензии для выпуска электронных подписей для физлиц и работников ЮЛ/ИП — «Астрал Подпись» и «1С-ЭТП». Данные продукты придают цифровым документам юридическую значимость и равнозначны рукописным.

Возможности электронной подписи

Итак, закон «Об электронной подписи» определяет три вида ЭЦП. Исходя из того, какую подпись имеет пользователь, формируется объём его возможностей.

Так, простая подпись даёт возможность получать посылки на Почте России без паспорта посредством СМС-кода. Также с её помощью можно записаться к врачу через электронную регистратуру. Это простые, но важные действия, облегчающие жизнь гражданина.

Неквалифицированная электронная подпись (НЭП) даёт возможность вести электронный документооборот. Она может применяться:

Однако сфера применения неквалифицированной электронной подписи не распространяется, например, на подачу отчётности в налоговую службу. Юридическое лицо, индивидуальный предприниматель и их сотрудники для этой цели должны иметь КЭП.

Квалифицированная электронная подпись даёт возможность:

Тенденции рынка электронной подписи

Электронная подпись — это перспективная технология, чья сфера применения становится шире. Уже существуют типы ЭЦП, которые хранятся не только на ключевых носителях. Их можно применять не только для подписания документов, но и для идентификации личности на различных порталах.

Расширение сферы применения
Всё больше отраслей применяют электронную подпись. Это касается как коммерческих сфер, так и государственных ведомств. Пользователи предпочитают бумажному документообороту электронный, который требует использования ЭЦП. Минцифры планирует увеличить ЭДО между государством и бизнесом на 60% от общего объёма к 2024 году.

Облачные технологии
Облачная подпись не имеет физического носителя, который нужно носить с собой. Она хранится на стороннем сервере. Позволяет подписывать цифровые документы с любых устройств. Некоторые операторы электронных торгов выпускают собственные облачные ЭЦП, но только для работы на своих площадках. Такой вид подписи не до конца регламентирован законодательством. Например, взаимодействие облачных КЭП и налоговой ещё не предусмотрено.

Подпись на SIM-карте
В России такой способ работы с электронной подписью был реализован некоторыми производителями, но не прижился. Однако отдельные страны уже используют данную технологию. Она позволяет физическим лицам или представителям бизнеса применять ЭЦП при помощи SIM-карты с мобильного устройства. Ключевой USB-носитель не требуется. Для подписания электронного документа используется смартфон.

Повышение рисков и ужесточение регуляции
Количество рисков, связанных с мошенничеством при помощи ЭЦП, растёт прямо пропорционально увеличению сфер, где её применяют. Чтобы оградить пользователей от злоумышленников, государство ужесточает требования к законам, которые касаются контроля информационной безопасности.

Сокращение количества удостоверяющих центров
Для снижения рисков мошеннических действий к удостоверяющим центрам были ужесточены требования: сокращён срок аккредитации, увеличен минимальный размер чистых активов, введена уголовная ответственность за заведомо умышленные действия сотрудников УЦ. В связи с этим центры, не гарантирующие информационную безопасность или созданные с целью преступной деятельности, были закрыты. Государство продолжило партнёрство только с надёжными УЦ.

Сертификат открытого ключа

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 30 декабря 2022 года; проверки требуют 2 правки.

Сертификат открытого ключа (сертификат электронной подписи, сертификат ключа подписи, сертификат ключа проверки электронной подписи (согласно ст. 2 Федерального Закона от 06.04.2011 «Об электронной подписи» № 63-ФЗ)) — электронный или бумажный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его Удостоверяющим центром и подтверждающий принадлежность открытого ключа владельцу.

Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:

Существует две модели организации инфраструктуры сертификатов: централизованная (PKI) и децентрализованная (реализуемая на основе т. н. сетей доверия), получившая наибольшее распространение в сетях PGP.

Наглядное объяснение принципа работы сертификатов открытого ключа на примере установки ПО от стороннего разработчика пользователем в Интернете

Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам. Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (открытый) она публикует каким-либо образом. Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (так как только она обладает соответствующим секретным ключом) сможет это сообщение прочесть. Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой открытый ключ, выдав его за ключ Алисы. В таком случае Давид сможет расшифровывать и читать, по крайней мере, ту часть сообщений, предназначенных Алисе, которые были по ошибке зашифрованы его открытым ключом.

Идея сертификата — это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.

Сертификат открытого ключа выдаётся центром сертификации и состоит из таких полей как:

Цифровая подпись гарантирует невозможность подделки сертификата. Она является результатом криптографической хеш-функции от данных сертификата, зашифрованным закрытым ключом центра сертификации. Открытый ключ центра сертификации является общеизвестным, поэтому любой может расшифровать им цифровую подпись сертификата, затем вычислить хеш самостоятельно и сравнить, совпадают ли хеши. Если хеши совпадают — значит сертификат действительный и можно не сомневаться, что открытый ключ принадлежит именно тому, с кем мы собираемся устанавливать соединение.

Если Алиса сформирует сертификат со своим публичным ключом и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности открытого ключа Алисы. В централизованной инфраструктуре в роли Трента выступает удостоверяющий центр. В сетях доверия Трент может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ Алисы, решает сам отправитель сообщения.

Пусть имеются две стороны информационного обмена — , , желающие обмениваться сообщениями конфиденциально, и третья сторона (играющая роль удостоверяющего центра), которой доверяют и

регистрируется у (посылает запрос на подпись), указывая данные о себе и свой Сторона посредством определенных механизмов «удостоверяет личность» стороны и выдает стороне сертификат , устанавливающий соответствие между субъектом и ключом . Сертификат содержит:

посылает стороне свой сертификат проверяет цифровую подпись . Для этого

Если полученные хеши равны — ЭЦП корректна, а это подтверждает, что действительно принадлежит

Теперь , зная открытый ключ и зная, что он принадлежит именно , может шифровать этим открытым ключом все последующие сообщения для И только сможет их расшифровать, так как известен только .

Электронная форма сертификата определяется стандартом X.509. Перечень обязательных и необязательных полей, которые могут присутствовать в сертификате, определяется данным стандартом, а также законодательством. Согласно законодательству России и Украины (закон «Об электронной цифровой подписи») сертификат должен содержать следующие поля:

Кроме этого в сертификат могут вноситься дополнительные поля.

Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.

В России действуют свои криптографические стандарты. Использование их совместно с сертификатами описано в RFC4491: Using GOST with PKIX.

В этой статье мы хотим помочь разобраться, какие бывают ключевые носители, и как тип устройства определяет степень безопасности закрытого ключа электронной подписи (ЭП).

Для этого рассмотрим практическую разницу форматов контейнеров ЭП и способы работы ключевых носителей.

Термины

Часть терминов в статье подается в упрощенном виде для простоты понимания.

Используя термин ЭП, мы подразумеваем квалифицированную электронную подпись (КЭП). Это электронная подпись, которая полностью соответствует всем требованиям 63-ФЗ и Приказу ФСБ России № 796 к средствам ЭП и хранится на персональном защищенном ключевом носителе.

Ключи ЭП — закрытый и открытый ключи, которые вместе составляют ключевую пару. Создание (генерация) ключевой пары выполняется криптографическим программным обеспечением , оно может быть установлено в точке выдачи УЦ, у вас на компьютере и в самом ключевом носителе. Закрытый ключ никому разглашать нельзя. Если его кто-то узнал, то он может подписать любой документ от вашего имени. Открытый ключ можно показывать всем. Его значение (это просто длинное число) заносится в сертификат ключа проверки электронной подписи (он же просто «сертификат»), который потом используется при проверке вашей подписи под документом.

Сертификат ЭП выдает Удостоверяющий Центр (УЦ). Форма сертификата КЭП соответствует требованиям Приказа ФСБ РФ № 795. Главная задача УЦ — достоверно определить, что вы – это вы. Для того, чтобы при обмене документами в электронном виде люди точно знали, что подпись, сделанная с использованием вашего сертификата — поставлена именно вами.

Ключи ЭП вместе с сертификатом составляют контейнер ЭП (ключевой контейнер).

Извлекаемые ключи

Создаются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционную систему (ОС).

Контейнеры ГОСТ-криптопровайдеров можно хранить в виде файлов на флеш-накопителях, жестком диске и реестре компьютера или на специализированном ключевом носителе, защищенном PIN-кодом.

Когда ключевые контейнеры хранятся как обычные файлы, возможности анализа, копирования или удаления никак не ограничены, а значит скопировать и удалить их может кто угодно. Поэтому безопаснее хранить ключевые контейнеры на специализированном, защищенном ключевом носителе (смарт-карте или токене), защищенном PIN-кодом. Именно этот вариант мы и будем рассматривать дальше.

Чтобы криптопровайдер (СКЗИ) смог получить доступ к содержимому защищенного ключевого носителя, нужно физически иметь в распоряжении ключевой носитель и знать PIN-код. Все операции с закрытым ключом выполняются в оперативной памяти компьютера.

Т. е. во время операций с закрытым ключом, после ввода правильного PIN-кода, закрытый ключ временно извлекается в оперативную память компьютера.

Таким образом, извлекаемые ключи — это ключи, которые можно скопировать на другой носитель средствами программного криптопровайдера.

ключи — это ключи с запретом копирования стандартными средствами программного криптопровайдера.

Защита от копирования реализуется внутренними программными механизмами самого криптопровайдера. При этом техническая возможность скопировать контейнер (закрытый ключ) остается. При формировании или импорте контейнера на ключевой носитель может быть установлен запрет на процедуру копирования, такие контейнеры (и закрытые ключи в них) называются неэкспортируемыми. Впоследствии этот параметр

Неизвлекаемые ключи

Создаются с использованием встроенных аппаратных криптографических механизмов внутри специализированных ключевых носителей. Для генерации ключей используется криптографическое ядро внутри микроконтроллера устройства. Такие ключи ЭП хранятся не просто в защищенной памяти с доступом по PIN-коду, но и в специальном типе файлов, с которым умеет работать только криптоядро устройства. При работе с подписью все операции производятся внутри токена, и закрытый ключ никогда не копируется из памяти микроконтроллера.

Неизвлекаемые ключи бывают разного формата: PKCS#11 и “ФКН-ключ”

Используя стандартизированный программный интерфейс (API) библиотеки приложение, или программный криптопровайдер, напрямую работает с криптоядром ключевого носителя.

У носителей, которые называются ФКН (функциональный ключевой носитель) есть возможность работать с неизвлекаемыми Такие носители и криптопровайдер на компьютере, для передачи PIN-кода и другого обмена (в т.ч. данными, которые подписываются), строят защищенный канал. Для этого используется протокол протокол выработки общего ключа с аутентификацией на основе пароля). Выработка ключа — задача устройства ФКН и криптопровайдера на компьютере, поэтому на компьютере также должна быть установлена версия КриптоПро CSP, поддерживающая SESPAKE.

Доступ к закрытому ключу

Для доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. P IN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать.

Теперь поговорим о том, какие бывают ключевые носители.

Пассивные ключевые носители

Выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя –

Активные ключевые носители

Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства — встроенного микрокомпьютера. Ключи сгенерированные в криптоядре — неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям

Пример активного носителя — Рутокен ЭЦП 3.0 3220

Функциональный ключевой носитель (ФКН)

Это активный носитель, дополнительно имеющий реализацию протокола SESPAKE для построения защищенного канала между криптопровайдером и токеном.

Пример такого устройства — Рутокен ЭЦП 3.0 3220, который также поддерживает активный и пассивный режимы.

Средства генерации ключевых пар

Рассмотрим с помощью каких средств криптографической защиты информации (СКЗИ) можно генерировать и использовать разные форматы ключей, на примере устройств Рутокен:

Генерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11. Например, вся линейка продуктов Рутокен ЭЦП 3.0 содержит в себе возможности аппаратной криптографии.

Для генерации ключей формата можно использовать инструменты от компании Актив:

Или воспользоваться программными ГОСТ-криптопровайдерами:

ФКН-ключи

Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать модели линейки Рутокен ЭЦП 3.0 — именно эти модели имеют поддержку протокола SESPAKE. Важно так же, что для работы и генерации ключей в таком формате подойдет версия КриптоПро CSP 5.0 и новее

Сертификация устройств

Немного о сертификации ключевых носителей.

Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России.

Чтобы проще было запомнить:

Таким образом, в случае с , сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России.

случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель.

Заключение

Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на «борту», такие как Рутокен ЭЦП 3.0 3220. Так ваша электронная подпись будет максимально защищена.

Электронная подпись (ЭП) — самое, что обычная подпись, но в электронном виде. Она приравнивает любой электронный документ к бумажному оригиналу.

Что такое электронная подпись

По сути подпись — это специально сгенерированный файл с цифрами, который крепится к электронному документу. Этот файл отвечает на три главных вопроса:

Электронная подпись гарантирует, что документ подписал владелец электронной подписи, а сам документ не изменялся после подписания, то есть остался подлинным.

Зачем нужна электронная подпись

Электронная подпись понадобится тем, кто собирается использовать в работе электронные документы, сдавать отчетность и получать услуги в интернете, автоматизировать внутренний документооборот, заключать договоры и подписывать электронные контракты.

Вот как используют электронную подпись компании и ИП:

Все эти операции призваны облегчить жизнь представителям бизнеса — сократить расходы на бумагу, принтеры и работу секретарей, меньше бегать по инстанциям, получать государственные услуги удаленно и кредиты в банке без визита в офис.

А вот что могут сделать с электронной подписью обычные граждане:

Обычно люди делают электронную подпись, чтобы передавать документы госслужбам — например, удаленно подают заявление на регистрацию по месту жительства или отправляют иск или доверенность в суд. Но на самом деле электронная подпись может заменить рукописную в любых случаях. Вот как, к примеру, ее можно использовать:

О том, как еще обычный человек может использовать электронную подпись в жизни, мы рассказывали в другой статье.

Как устроена ЭП

Технически электронная подпись — файл с уникальной последовательностью цифр, который прикрепляется к документу. В ее формировании участвуют закрытый и открытый ключ.

Закрытый ключ есть только у автора подписи. Это «перо», оно хранится у владельца на любом удобном носителе: компьютере, внешнем диске или токене — защищенной флешке, которую можно носить с собой. Еще подпись может быть на диске, смарт- или симкарте.

Открытый ключ доступен всем. Это файл со сведениями о владельце подписи, он нужен, чтобы можно было проверить ее подлинность и неизменность документа.

Сама электронная подпись формируется с помощью специальной программы — средства криптографической защиты информации (СКЗИ). Предположим, вы хотите отправить договор через систему электронного документооборота. Кратко процесс выглядит так:

Виды ЭП и их отличия

В законе описаны несколько видов электронной подписи: простая, неквалифицированная и квалифицированная.

Также подпись позволяет подтвердить обращение в органы власти или подписать заявку на услугу. Например, когда подаете документы на налоговый вычет в личном кабинете на сайте налоговой службы.

Простая электронная подпись уязвима, поэтому ее нельзя применять при работе с государственной или коммерческой тайной. Если вы работаете с имущественными и финансовыми документами, то лучше ее не использовать. Она не гарантирует, что документ не меняли и что его подписал нужный человек. Это будет проверять районный или арбитражный суд, если возникнет спорная ситуация.

Неквалифицированная электронная подпись формируется с помощью более сложных программ и функций для шифрования. Считается, что подделать подпись, созданную с помощью такой программы, невозможно или очень сложно. Эта подпись говорит: документ подписал человек в время и не менял его после.

Эту подпись используют во внутреннем электронном документообороте: в распоряжениях, письмах, приказах и некоторых кадровых документах. Ей подписывают договоры, контракты и агентские отчеты, но только если стороны заключили соглашение о доверии таким подписям и электронным документам.

Неквалифицированные подписи можно генерировать внутри компании или сервиса с помощью бесплатных инструментов. Государство не может контролировать неквалифицированную подпись: кто угодно может ее выдать и владеть ею, и она не защищена средствами, которым доверяют власти. Именно поэтому в судебных инстанциях не принимают такие подписи.

Квалифицированная электронная подпись — самый надежный вид электронной подписи. Она подтверждена квалифицированным сертификатом, специальным бумажным или электронным документом, отвечающим требованиям ФСБ. Программа, которая предназначена для работы с квалифицированной подписью, тоже отдельно сертифицирована ФСБ.

Квалифицированную КЭП для физлиц, доверенных лиц организаций и ИП выдают в удостоверяющих центрах. Это организации, которые прошли сертификацию ФСБ и аккредитацию у Минкомсвязи, уполномочены выдавать сертификаты электронных подписей и осуществлять услуги по криптозащите информации.

Руководители компаний и ИП получают КЭП только в налоговой.

Главное отличие квалифицированной подписи в том, что ее целостность дополнительно проверяется по двум реквизитам:

Так определяют, что подпись не была утеряна, украдена или просрочена, когда ее использовали. Сертификат квалифицированной подписи необходимо обновлять каждый год — помнить, когда она перестает действовать, и вовремя заказывать перевыпуск.

У квалифицированной подписи есть два важных преимущества.

Взломать квалифицированную подпись почти невозможно — это потребует слишком больших вычислительных ресурсов. Если вы потеряете закрытый ключ, по вашему сигналу удостоверяющий центр или налоговая отзовет сертификат — подписывать документы с его помощью будет нельзя. Также нельзя передавать токен — если об этом узнает удостоверяющий центр или налоговая, то аннулируют подпись как скомпрометированную.

Ее можно использовать в любых операциях с электронными документами. Ей доверяют районные и арбитражные суды и налоговые инспекции, поэтому чаще всего ею подписывают электронные счета-фактуры, налоговые декларации и договоры.

Где можно использовать электронную подпись

Нужно подготовить рабочее место и приобрести сертификат подписи. Сертификат выдают быстро — в течение часа.

Рабочее место — это ваш компьютер, на котором вы будете подписывать документы. На нем должна быть операционная система Виндоус или и браузер с доступом в сеть. Линукс тоже подойдет, но его придется настроить. Это могут бесплатно сделать в удостоверяющем центре, но туда, возможно, придется везти компьютер.

Еще для работы с квалифицированной подписью надо будет установить программу для криптозащиты информации (СКЗИ). Самые распространенные средства криптозащиты в России — это «Криптопро CSP», CSP, «Лисси CSP», Vipnet CSP. Все они работают примерно одинаково.

Какое конкретно СКЗИ потребуется и какие настройки будут нужны, вам скажут в удостоверяющем центре, налоговой или МФЦ.

Как приобрести подпись компании и ИП

Руководители фирм и ИП получают квалифицированные сертификаты подписи только в налоговых инспекциях. Дистанционно получить подпись нельзя, нужно обращаться лично.

Налоговые инспекции выдают сертификаты подписи бесплатно. Что нужно сделать, чтобы получить подпись:

Подпись, которую вы получите в ИФНС, выдается в единственном экземпляре и предназначается только для руководителя компании и ИП. У сотрудников должны быть свои подписи. Они получают их в удостоверяющих центрах.

Как получить подпись доверенному лицу организации или ИП

Получить подпись для доверенных лиц компаний и ИП можно в удостоверяющих центрах. Нужно выбрать ближайший центр в списке на сайте Минцифры и оформить заявку в офисе организации или на ее сайте.

Потребуются следующие документы:

Цена сертификата зависит от региона. В Москве — от 2000 ₽, а в Хакасии, например, это может стоить от 1000 ₽.

После оплаты электронную подпись запишут на ваш токен. Его можно купить в удостоверяющем центре за 2000—2500 ₽. С этого момента сертификат начинает действовать.

Чтобы сотрудники имели право подписывать электронные документы, нужна не только КЭП. Вы также должны сделать для них машиночитаемую доверенность.

Это специальный электронный документ, который может распознать система документооборота. Требования к нему описаны в приказе ФНС от 30.04.2021.

Как приобрести подпись обычному человеку или самозанятому

Обычные граждане могут пользоваться любой подписью — простой, неквалифицированной и квалифицированной.

Как правило, простая подпись используется для авторизации на госуслугах.

Неквалифицированной подписью можно пользоваться по договоренности для обмена документами с компаниями или ИП.

А с помощью квалифицированной подписи получают госуслуги, связанные с имущественными операциями. Например, ею можно подписать договор купли-продажи квартиры и подать его на государственную регистрацию. Или оформить компанию без посещения налоговой, назначить ее директора и других должностных лиц.

В Москве электронная подпись для граждан стоит от 900 ₽. Цена с носителем — 2700—3500 ₽. Отдельно носитель будет стоить от 1840 ₽. Стоимость зависит от тарифа удостоверяющего центра и того, насколько защищенную подпись вы хотите использовать.

Еще квалифицированную ЭП можно получить бесплатно — через мобильное приложение «Госключ». Для этого потребуется подтвержденная учетная запись на госуслугах, действующий загранпаспорт с чипом, который выдают на десять лет, и смартфон с NFC-модулем. Такой подписью можно подписывать любые документы на госуслугах и коммерческих площадках, которые интегрированы с «Госключом».

Расходы на электронную подпись в Москве для компаний и ИП —

Для подписания нужна программа, которая в контекстное меню вашей операционной системы — Windows или macOS — добавит специальный раздел. Таким образом, можно подписать любой документ просто нажатием правой кнопки мыши. На сайте каждого разработчика СКЗИ можно найти подробную инструкцию, как подписывать документ.

Например, так работает процесс подписания с помощью программы «»:

Запуск мастера создания электронной подписи с помощью «Крипто⁠-⁠АРМ» в Виндоус

Документы «» подписать еще проще:

В результате документ становится недоступным для изменения, а рядом с ним в папке появится файл подписи в формате .

Если у вас установлена СКЗИ и есть подпись, то подписать документ можно прямо в ворде

Документы можно подписывать в электронной почте и облачных хранилищах — например, в «Дропбоксе» и на «Яндекс-диске». Для этого нужно установить специальное расширение для браузера. Такое расширение добавляет в интерфейс вашего файлового хранилища кнопку «Подписать».

В «» плагины для электронной подписи можно найти во вкладке «Дополнения».

Чтобы подписать документ в «Гугл⁠-⁠докс» с помощью плагина eSignGSA, найдите плагин в разделе «Дополнения» и установите его. Затем нажмите Start

Как проверить подлинность подписи

Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:

На сайте госуслуг нужно выбрать тип подписи, который вы хотите проверить. После этого загрузить подписанный КЭП документ для проверки

Для проверки подписи на сайте «Мос-ру» нужно загрузить документ, подписанный электронной подписью, и файл с самой подписью