Электронная цифровая подпись состоит из двух частей. Виды электронной подписи (ЭЦП)

"Бюджетные учреждения: ревизии и проверки финансово-хозяйственной деятельности", 2011, N 8

На современном этапе развития российского общества в процессы повседневной деятельности активно внедряются новые высокопроизводительные информационно-телекоммуникационные технологии. Процесс обмена электронными документами значительно отличается от обмена документами на бумажных носителях, так как существует проблема подтверждения подлинности содержащейся в них информации и ее соответствия смыслу волеизъявления человека, которая решается с помощью использования электронной подписи. Электронная подпись достаточно широко применяется в деятельности государственных (муниципальных) учреждений как при предоставлении государственных (муниципальных) услуг, взаимодействии с органами Федерального казначейства, представлении отчетности, так и в ряде других случаев.

С 08.04.2011 вступил в силу Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон N 63-ФЗ), регулирующий отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, выполнении государственных и муниципальных функций, совершении иных юридически значимых действий. В связи с его изданием с 01.07.2012 перестанет действовать Федеральный закон от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи" (далее - Федеральный закон N 1-ФЗ).

Каковы причины принятия нового Закона?

Федеральный закон N 1-ФЗ имеет концептуальные и юридическо-технические недостатки, которые не позволили обеспечить правовые условия для широкого применения электронной цифровой подписи в РФ, в частности:

• использование единственной технологии электронной цифровой подписи (основанной на так называемой технологии асимметричных ключей подписи) приводит к необходимости использования единой иерархической системы удостоверяющих центров и обязывает применять сертифицированные средства электронной цифровой подписи;
• положения Закона не соответствуют основным принципам, реализуемым в иностранном законодательстве и международном праве при осуществлении правового регулирования электронных подписей, таким как "технологическая нейтральность" законодательства, правовое признание различных видов электронной подписи, свободное использование средств электронной подписи, аккредитация удостоверяющих центров;
• сфера регулирования Закона недостаточна: из нее исключены отношения как по использованию иных видов электронной подписи, так и не являющиеся гражданско-правовыми сделками;
• не допускается электронная цифровая подпись юридических лиц.

Данные недостатки не позволяют широко использовать положения Федерального закона N 1-ФЗ в правоприменительной практике. Принятый Федеральный закон N 63-ФЗ направлен на устранение указанных выше недостатков, расширение сферы использования и допустимых видов электронных подписей. В то же время он сохраняет имеющуюся практику использования электронной цифровой подписи.

Какие существуют виды электронной подписи?

Согласно ст. 2 Федерального закона N 63-ФЗ электронная подпись - это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом с ней связана и которая используется для определения лица, подписывающего информацию.

Для справки. Статья 3 Федерального закона N 1-ФЗ характеризует электронную подпись как реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

В соответствии со ст. 5 Федерального закона N 63-ФЗ электронная подпись может быть двух видов: простая и усиленная. В свою очередь, усиленная электронная подпись может быть неквалифицированной или квалифицированной. Необходимо отметить, что Федеральный закон N 1-ФЗ не предусматривает аналогичного разделения, о чем мы упоминали выше.

Простая электронная подпись. Простая электронная подпись - это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом (п. 2 ст. 5 Федерального закона N 63-ФЗ).

Электронный документ считается подписанным простой электронной подписью при выполнении одного из следующих условий (п. 1 ст. 9 Федерального закона N 63-ФЗ):

• простая электронная подпись содержится в самом электронном документе;
• ключ простой электронной подписи (уникальная последовательность символов, предназначенная для создания электронной подписи) применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

Для использования простой электронной подписи, а также в целях признания электронных документов равнозначными документам на бумажных носителях соглашения между участниками электронного взаимодействия (нормативные правовые акты) в обязательном порядке должны предусматривать:

• правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
• обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.

Напомним, что электронный документ - это документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронно-вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах (ст. 2 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации").

Обратите внимание! Не допускается использование простой электронной подписи для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну (п. 4 ст. 9 Федерального закона N 63-ФЗ).

Усиленная электронная подпись. В отличие от простой, усиленная электронная подпись применяется в случаях, когда в соответствии с действующим законодательством или обычаями делового оборота документ должен быть не только подписан руководителем государственного (муниципального) учреждения (лицом, им уполномоченным), но и заверен печатью (п. 3 ст. 6 Федерального закона N 63-ФЗ).

Как уже было отмечено, усиленная электронная подпись бывает неквалифицированной и квалифицированной.

В соответствии со ст. 10 Федерального закона N 63-ФЗ при использовании усиленных электронных подписей необходимо:

• обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих учреждению ключей электронных подписей без его согласия;
• уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;
• не использовать ключ электронной подписи при наличии оснований полагать, что его конфиденциальность нарушена;
• использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, получившие подтверждение соответствия требованиям.

Признаются ли электронные документы равнозначными документам на бумажном носителе?

Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, за исключением случаев, когда законодательством установлено требование о необходимости составления документа исключительно на бумажном носителе. Кроме того, нормативными актами или соглашением между участниками электронного взаимодействия могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.

Квалифицированная подпись признается действительной вплоть до установления иного судом при выполнении следующих условий (ст. 11 Федерального закона N 63-ФЗ):

• квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
• квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
• имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений в этом документе после его подписания;
• квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).

В соответствии с п. 2 ст. 6 Федерального закона N 63-ФЗ электронный документ, подписанный простой или неквалифицированной электронной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных законодательством или соглашением между участниками электронного взаимодействия. Причем указанные соглашения или нормативные акты должны предусматривать порядок проверки электронной подписи, а также соответствовать требованиям, установленным в ст. 9 Федерального закона N 63-ФЗ.

Как получить средства электронной подписи?

Для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи должны использоваться средства электронной подписи, которые (п. 1 ст. 12 Федерального закона N 63-ФЗ):

• позволяют установить факт изменения подписанного электронного документа после момента его подписания;
• обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или ключа ее проверки.

Для получения средств электронной подписи и заключения договора на их обслуживание учреждению необходимо обратиться в один из удостоверяющих центров. Напомним, что удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции (ст. 2 Федерального закона N 63-ФЗ). Задачами удостоверяющего центра являются создание и выдача сертификатов на основании соглашения между удостоверяющим центром и заявителем. Кроме того, удостоверяющий центр (п. 1 ст. 13 Федерального закона N 63-ФЗ):

• устанавливает сроки действия сертификатов ключей проверки электронных подписей;
• аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей;
• выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;
• ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей, в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях такого прекращения или аннулирования;
• устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием Интернета;
• создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
• проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
• осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
• осуществляет иную связанную с использованием электронной подписи деятельность.

Например , предоставление средств электронной подписи в целях размещения информации о заказах на официальном сайте РФ в Интернете для размещения информации о заказах на поставки товаров, выполнение работ, оказание услуг осуществляется Федеральным казначейством. Порядок предоставления электронной подписи в данном случае регламентируется Приказом Минэкономразвития России N 647, Федерального казначейства N 22н от 14.12.2010 "Об утверждении Порядка регистрации пользователей на официальном сайте Российской Федерации в сети Интернет для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг" (далее - Порядок). Так, для получения сертификатов ключей необходимо представить в территориальный орган Федерального казначейства по месту нахождения учреждения на бумажном носителе (а при наличии технической возможности - в виде электронного документа) в одном экземпляре:

• сведения об организации по форме, приведенной в Приложении 1 к Письму Казначейства РФ от 14.03.2011 N 42-7.4-05/10.0-160. Запрещается включать в указанную форму сведения, составляющие государственную тайну;
• Карточку образцов подписей к лицевым счетам (по форме 0531753, утвержденной Приказом Федерального казначейства от 07.10.2008 N 7н "О порядке открытия и ведения лицевых счетов Федеральным казначейством и его территориальными органами" (далее - Приказ N 7н));
• копию учредительного документа (устава), заверенную учредителем или нотариально. Ее представление не требуется от органов государственной власти (местного самоуправления) или их территориальных органов, федеральных казенных учреждений, не имеющих собственного положения (устава) и действующих на основании общего положения (устава), территориальных государственных внебюджетных фондов, государственной корпорации (государственной компании);
• копию документа о государственной регистрации юридического лица, заверенную учредителем или нотариально либо органом, осуществившим государственную регистрацию;
• копию свидетельства о постановке юридического лица на учет в налоговом органе, заверенную нотариально либо выдавшим ее налоговым органом;
• копию нормативного правового акта субъекта РФ о создании соответствующего территориального государственного внебюджетного фонда (только для территориальных государственных внебюджетных фондов). Заверять указанную копию не требуется;
• копию документа об открытии счета в кредитной организации, на который должны перечисляться средства участников размещения заказа, выданного соответствующей кредитной организацией, заверенную нотариально, в случае если соответствующей организации не открыт лицевой счет в органе Федерального казначейства (для государственной корпорации, государственной компании, унитарного предприятия, организации, имеющей долю государственного участия, субъекта естественной монополии).

Как используется электронная подпись при работе с органами Федерального казначейства?

Согласно п. 1.3 Порядка кассового обслуживания исполнения федерального бюджета, бюджетов субъектов Российской Федерации и местных бюджетов и порядка осуществления органами Федерального казначейства отдельных функций финансовых органов субъектов Российской Федерации и муниципальных образований по исполнению соответствующих бюджетов, утвержденного Приказом Федерального казначейства от 10.10.2008 N 8н, информационный обмен между государственными (муниципальными) учреждениями и Федеральным казначейством или органами Федерального казначейства осуществляется в электронном виде с применением средств электронной подписи в соответствии с законодательством РФ на основании договора (соглашения) об обмене электронными документами, заключенного между учреждениями и Федеральным казначейством, и требованиями, установленными законодательством РФ.

При заключении органами Федерального казначейства договоров об обмене электронными документами с главными распорядителями, распорядителями, получателями, администраторами поступлений, финансовыми органами всех уровней бюджетной системы РФ рекомендуется использовать прилагаемый примерный договор об обмене электронными документами (см. Письмо Федерального казначейства от 20.03.2007 N 42-7.1-17/10.1-102 "О примерном договоре об обмене электронными документами").

Органы Федерального казначейства при приеме платежных документов, представленных в электронном виде в соответствии с договором об обмене электронными документами, для сверки подписи лица, подписавшего электронный платежный документ, с ее образцом используют сертификат открытого ключа электронной подписи, выданный в установленном порядке подписывающему электронные платежные документы лицу. При этом электронный платежный документ может быть подписан одновременно несколькими электронными подписями лиц, получивших в установленном порядке сертификат в соответствии с договором.

Можно ли использовать электронную подпись при оказании государственных и муниципальных услуг?

Порядок использования информационно-телекоммуникационных технологий при оказании государственных и муниципальных услуг установлен ст. ст. 21.1, 21.2 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Федеральный закон N 210-ФЗ).

Государственные и муниципальные услуги предоставляются в электронной форме в том случае, если они включены в перечень, установленный Правительством РФ. Высший исполнительный орган государственной власти субъекта РФ вправе утвердить дополнительный перечень услуг, оказываемых в субъекте РФ государственными и муниципальными учреждениями и другими организациями, в которых размещается государственное задание (заказ) субъекта РФ или муниципальное задание (заказ), подлежащих включению в реестр государственных или муниципальных услуг и предоставляемых в электронной форме.

Обращение за получением и предоставление государственной или муниципальной услуги могут осуществляться с использованием электронных документов, подписанных электронной подписью в соответствии с требованиями Федерального закона N 63-ФЗ.

Правила использования простых электронных подписей при оказании государственных и муниципальных услуг, в том числе правила создания и выдачи ключей простых электронных подписей, и перечень органов и организаций, имеющих право на создание и выдачу ключей простых электронных подписей в целях оказания государственных и муниципальных услуг, устанавливаются Правительством РФ и должны предусматривать в том числе (ст. 21.2 Федерального закона N 210-ФЗ):

• требования, которым должны соответствовать простые электронные подписи и (или) технологии их создания;
• способы установления личности лица при выдаче ему ключа простой электронной подписи в целях получения государственных и муниципальных услуг.

Согласно п. 2 ст. 21.2 Федерального закона N 210-ФЗ при оказании государственных и муниципальных услуг с использованием простых электронных подписей должны обеспечиваться:

• возможность бесплатного получения любыми лицами ключей простых электронных подписей для использования в целях получения государственных и муниципальных услуг;
• отсутствие необходимости использования физическими и юридическими лицами программных и аппаратных средств, специально предназначенных для получения государственных и муниципальных услуг с использованием простых электронных подписей.

Заметим, что в настоящее время в тестовом порядке работает портал государственных услуг (www.gosuslugi.ru), на котором можно получить некоторые государственные услуги в электронном виде.

Ю.Васильев

генеральный директор

Электронная цифровая подпись – основа электронного документооборота с применением современных информационных технологий. Она является неотъемлемой частью работы таких проектов, как «Банк-Клиент» (автоматизированные банковские системы удалённого доступа), платёжных систем на основе smart–карт, системы электронных интернет-платежей и др.

Что собой представляет система цифровой электронной подписи

Основное назначение электронной цифровой подписи, представляющей собой особую математическую схему, – подтвердить подлинность электронных документов или сообщений. Надёжная цифровая подпись гарантирует получателю, что документ был создан отправителем и в процессе передачи не был изменён.

Электронные цифровые подписи активно применяются при совершении финансовых операций, для распространения программного обеспечения, а также в других проектах, требующих подтверждения подлинности электронного сообщения.

Стоит различать понятия «цифровая подпись» и «электронная подпись». Первый термин носит более общий характер, поскольку относится к любым электронным данным. При этом не все электронные подписи являются цифровыми.

В цифровых подписях применяется асимметричная криптография. Они призваны защитить электронные сообщения, передаваемые по небезопасному каналу. Цифровая подпись, созданная по всем правилам, гарантирует, что сообщение было отправлено составителем. По сути, цифровая подпись и печать – полноценный заменитель физическим печатям и подписям, поставленным вручную. Отличие в том, что цифровые сложнее подделать.

Одна из сфер применения электронной цифровой подписи – подтверждение достоверности сообщений и документов, передаваемых по электронной почте с помощью криптографического протокола. В основе ЭЦП лежит принцип безотказности, согласно которому лицо, подписавшее документ, не может доказать, что не ставило подпись на отправленном сообщении.

Роль цифровой подписи в электронной коммерции и документообороте

Популярность ЭП неуклонно растёт. Руководители компаний хотят уменьшить загруженность своих работников и сократить объёмы бумажного документооборота. Ведь с помощью ЭЦП и другие сотрудники смогут гораздо быстрее подписывать документы, что сократит время простоев и обеспечит рост эффективности бизнес-процессов в организации.

Федеральный закон «Об электронной цифровой подписи» определяет ЭЦП как равнозначную по юридической силе рукописной подписи и физической печати на традиционном документе в бумажном виде. Это позволяет организациям различных отраслей и направлений деятельности активно использовать её в электронном документообороте.

Но сфера применения ЭЦП этим не ограничивается. Она также используется для подтверждения авторства, целостности, подлинности и актуальности любых электронных сообщений и позволяет проверить, вносились ли какие-либо изменения в передаваемый документ посторонними людьми.

Ускорение всех процессов в жизни и в бизнесе вынуждает владельцев компаний оптимизировать организационные процессы, внедрять различные системы автоматизации. Электронная торговля – один из таких инструментов. Для участия в торгах нужна электронная цифровая подпись, которая позволяет:

• гарантировать достоверность загруженных участниками электронных документов;
• организаторам подписывать конкурсы, аукционы и заявки;
• подписывать заявки на торгах;
• использовать электронные документы наравне с бумажными;
• обеспечить подлинность и целостность электронных документов, не допустить их подделки;
• избежать возникновения спорных ситуаций по причине некорректной отправки документов и подачи заявок.

Применение цифровых технологий в электронной торговле может способствовать в ближайшем будущем внесению кардинальных изменений в практику ведения деловых переговоров. В первую очередь, за счёт использования цифровых каналов связи и сокращения расходов на коммуникацию. Так электронная цифровая подпись предоставляет владельцам малого и среднего бизнеса доступ к международным рынкам электронной торговли.

В недавнем прошлом для обмена сообщениями или документами применяли факс. Ценные бумаги также высылали по почте или курьерской службой. Теперь можно отправлять всю необходимую документацию, имеющую соответствующую юридическую силу, в кратчайшие сроки и без посредников. Ведь электронная цифровая подпись в документообороте полностью заменяет собственноручную и подтверждает её подлинность, гарантируя, что в документ не вносились исправления посторонними пользователями.

Экономическая целесообразность перехода на обмен электронными документами очевидна: в таком виде их проще хранить и передавать. Для этого нужно лишь оформить электронную цифровую подпись в одном из специальных удостоверяющих центров.

Ещё одним преимуществом электронного документооборота является высокая степень защиты передаваемых данных. Для ЭЦП используется специальный криптопровайдер с квалифицированным сертификатом. Максимальная его защита обеспечивается специальными аппаратно-программными комплексами (ключи I-Token или смарт-карты), в которых находится безопасное хранилище для применения PIN-кодов при работе с квалифицированным сертификатом. Если при вводе PIN-кода предпринимается несколько неудачных попыток, то сертификат блокируется и перестаёт работать.

Особенности использования электронной цифровой подписи

Перед тем как использовать ЭЦП для визирования документов, необходимо учесть следующее:

1. Подлинность подписи можно проверить на основе данных, находящихся в открытом доступе. При этом она создаётся из фиксированного сообщения и закрытого ключа электронной цифровой подписи.
2. Невозможно подделать или подобрать подпись без секретного ключа.

Применение ЭЦП целесообразно и актуально не только в организации документооборота юридических лиц (для заверения подлинности, авторства, идентичности и статуса документов), но и физических в том числе. Например, она может быть использована для подтверждения информированного согласия или одобрения одной из сторон, подписавших договор.

Электронная цифровая подпись применяется при аутентификации источника письма. Это связано с тем, что даже если в документе есть вся необходимая информация, сложно гарантировать подлинность отправителя. Ключ электронной цифровой подписи закрепляется за определённым пользователем. Такой механизм гарантирует, что письмо было отправлено владельцем ЭЦП. Это особенно актуально для финансовых и банковских организаций.

Ещё одно направление применения ЭЦП – подтверждение, что письмо было доставлено в целости и сохранности и в процессе передачи в него не были внесены какие-либо корректировки злоумышленниками. Шифрование с применением ключа ЭЦП не обеспечивает 100 %-й защиты от внесения изменений в исходное сообщение посторонними пользователями. Но при расшифровке письма адресат получит информацию в случае, если целостность письма нарушена. Это связано с тем, что любые действия с сообщением, подписанным электронной цифровой подписью, приводят к её дезактивации. Для того чтобы снова поставить подпись на изменённом документе, нужно иметь к ней доступ. Поэтому вероятность такого развития событий крайне мала.

Также электронная цифровая подпись – один из действенных инструментов подтверждения происхождения документа или сообщения. То есть электронная цифровая подпись для юридических лиц – гарантия неотрекаемости или невозможности отрицания факта, что организация подписала электронный документ. Этот принцип работы ЭЦП применим и в отношении физических лиц.

Стоит иметь в виду, что подлинность и безотказность письма, подписанного ЭЦП, возможны лишь в том случае, если секретный ключ не отозван перед использованием. При этом открытые ключи аннулируются одновременно с секретными. По предварительному запросу ЭП проверяется на вероятность отзыва.

Любые криптосистемы, в основе работы которых лежит использование открытого или закрытого ключа, напрямую зависят от степени секретности этих данных. Пользователь может хранить ключ электронной цифровой подписи на своем рабочём компьютере, защитив его паролем. Но у такого варианта есть свои недостатки:

• подписывать документы можно только на компьютере владельца ЭЦП;
• сохранность данных ЭЦП напрямую зависит от защищённости рабочего компьютера пользователя.

Намного надёжнее хранить секретный ключ на смарт-картах, так как большинство из них имеют высокую степень защиты от изменений несанкционированными пользователями.

Для активации смарт-карты пользователь вводит специальный PIN-код. Такая схема двухфакторной аутентификации и обеспечивает дополнительную защиту электронной цифровой подписи. В случае кражи или пропажи смарт-карты для её активации и использования ЭЦП также нужно будет ввести PIN-код, что уменьшает степень безопасности этой схемы. Обнадёживает тот факт, что ключи ЭЦП, находящиеся на смарт-картах, существуют в единственном экземпляре и не поддаются копированию. Поэтому владелец электронной цифровой подписи, обнаружив пропажу, может быстро заблокировать их действие. Ключи, хранящиеся на компьютере пользователя, намного проще скопировать, а сам факт утечки информации сложнее обнаружить. Поэтому очень важно применять дополнительную защиту электронной цифровой подписи.

Какие алгоритмы используются в работе электронной цифровой подписи

Цифровая схема подписи включает в себя одновременно три алгоритма электронной цифровой подписи:

1. Алгоритм генерации ключа, который отбирает секретный ключ равномерным и случайным образом из множества возможных частных вариантов. Одновременно генерируются секретный и открытый ключи, которые идут в паре.
2. Алгоритм подписи, который на основе закрытого ключа подписывает электронное сообщение.
3. Проверочный алгоритм электронной цифровой подписи, который на основе открытого ключа, подписи и сообщения определяет подлинность и принимает решение о возможности или невозможности отправки электронного письма.

Алгоритм цифровой подписи RSA.

Одна из самых первых и наиболее распространенных систем ЭЦП работает на основе алгоритма RSA. Всё начинается с вычисления открытого и закрытого ключа. Отправитель электронного письма должен вычислить два больших простых числа P и Q, а потом рассчитать произведение и найти значение функции:

N = P * Q; φ (N) = (Р-1)(Q-1).

Затем нужно определить значение Е из условий:

Е £ φ (N), НОД (Е, φ (N)) = 1

и значение D:

D < N, Е *D º 1 (mod j (N)).

Числа E и N представляют собой открытый ключ. Эти показатели автор отправляет адресатам электронного письма для аутентификации электронной цифровой подписи. Параметр D – это секретный ключ, с помощью которого автор подписывает сообщение. Схематично работа алгоритма представлена на рисунке:

Недостатки применения алгоритма RSA для формирования электронной цифровой подписи:

1. Вычисление значений параметров N, E и D – процесс трудоёмкий, поскольку требует проверки большого количества дополнительных условий. При этом, если хотя бы одно из них не будет выполнено, возникает риск подделки электронной цифровой подписи.
2. Высокая стойкость к фальсификации ЭЦП, созданной по алгоритму RSA, обеспечивается за счёт существенных затрат на вычисление (на 20-30 % больше, чем у других алгоритмов).

Алгоритм цифровой подписи Эль-Гамаля (EGSA).

Главная идея этого алгоритма – невозможность подделки электронной цифровой подписи. Для реализации такой цели требуется решить более сложную вычислительную задачу, а не просто разложить на множители большое целое число. Кроме того, разработчик Эль-Гамаль смог устранить недостатки алгоритма RSA и предотвратить риски фальсификации ЭЦП без определения секретного ключа.

Для генерации открытого и закрытого ключа необходимо выбрать два простых целых числа P и G, при условии, что G < P. Отправитель и адресат электронного документа, подписанного ЭЦП, применяют одинаковые большие несекретные числа P (~10 308 = ~2 1024) и G (~10 154 = ~1 512). Первый из них берёт случайное целое число X, 1 < X £ (P - 1), и вычисляет: Y = G X mod P.

Параметр Y – открытый ключ, используемый для аутентификации электронной цифровой подписи отправителя. Параметр Х – секретный ключ, используемый им для подписи электронных документов. Для подписи сообщения М необходимо, чтобы отправитель захэшировал его с помощью хэш-функции h в целое число m: m = h(M), 1 < m < (P - 1), и сгенерировал случайное целое число К, 1 < K < (P - 1), при этом К и (P - 1) должны быть взаимно простыми. На следующем этапе он рассчитывает значение параметра a по формуле: a = G K mod P. На основе расширенного алгоритма Евклида с помощью секретного ключа Х определяет целое число b: m = X * a + K * b (mod (P - 1)). Пара чисел (a, b) формируют электронную цифровую подпись S: S = (a, b).

Значения параметров M, a и b передаются адресату, а значения чисел X и K не разглашаются. Затем получатель сообщения вычисляет значение m по формуле: m = h(M). Далее рассчитывается значение числа A = Y a a b mod (P). Если A = G m mod (P), сообщение М считается подлинным.

Можно привести строгое математическое доказательство, что последнее равенство будет верно тогда, когда подпись S под сообщением M рассчитана с помощью именно секретного ключа X, из которого был получен открытый ключ Y.

При этом стоит иметь в виду, что для создания каждой электронной цифровой подписи нужно новое значение числа К, которое определяется случайным образом.

Алгоритм EGSA – классический образец того, как происходит доставка сообщения в открытой форме вместе с аутентификатором (a, b). Отличие алгоритма Эль-Гамаля от алгоритма RSA:

1. При схожей степени стойкости алгоритм EGSA работает на целых числах, которые короче аналогичных чисел в алгоритме RSA на 25%. Это сокращает время вычислений в среднем в 2 раза.
2. Вычислить модуль Р легко, требуется лишь удостовериться, что число простое и у числа (Р - 1) есть большой простой множитель.
3. Алгоритм EGSA не позволяет ставить электронную цифровую подпись на новых сообщениях без знания секретного ключа.
4. Подпись, созданная по алгоритму EGSA, в 1,5 раза больше подписи, сгенерированной по схеме RSA.

Алгоритм цифровой подписи DSA.

Алгоритм DSA (Digital Signature Algorithm) является усовершенствованной версией алгоритмов цифровой подписи EGSA и К. Шнорра. Отправитель и адресат электронного письма вычисляют большие целые числа G и P - простые числа, L бит каждое (512 £ L £ 1024), q - простое число длиной 160 бит (делитель числа (P - 1)). Числа P, G, q открытые и могут быть общими для пользователей. Отправитель выбирает случайное целое число X - секретный ключ электронной цифровой подписи, при этом 1 < X < q. Далее он рассчитывает значение параметра Y (открытого ключа) по формуле: Y = G X mod P. Для подписи сообщения М отправитель хэширует его в целое хэш-значение m: m = h(M), 1 < m < q, затем выбирает случайное целое число К, при условии, что 1 < K < q, и вычисляет значение параметра r по формуле: r = (G K mod P) mod q. Далее он находит число s по формуле: s = ((m + r * X)/ K) mod q.

Пара чисел S = (r, s) формируют электронную цифровую подпись. Адресат проверяет выполнение условий: 0 < r < q, 0 < s < q. Если хотя бы одно из них не выполнено, то подлинность ЭЦП не подтверждается. Если же выполнены все условия, то адресат рассчитывает значение w по формуле: w = (l/s) mod q, хэш-значения m = h(M) и числа u 1 = (m * w) mod q, u 2 = (r * w) mod q. Далее он с помощью открытого ключа Y вычисляет v по формуле: v = ((G u 1 * Y u 2) mod P) mod q. Подпись S считается подлинной при условии, что выполняется равенство v = r.

Можно привести математическое доказательство, что последнее равенство будет верно тогда, когда подпись S под сообщением M рассчитана с помощью именно секретного ключа X, из которого был получен открытый ключ Y.

Преимущества алгоритм DSA по сравнению с алгоритмом EGSA:

1. Длина электронной цифровой подписи, созданной по алгоритму DSA, существенно короче, чем у подписи, сгенерированной по алгоритму EGSA. При этом уровень стойкости одинаковый.
2. Время вычисления подписи DSA меньше, чем в алгоритме EGSA.

К минусам алгоритма DSA можно отнести необходимость проведения сложных операций деления по модулю q для проверки подлинности электронной цифровой подписи. На практике работу алгоритма DSA можно ускорить за счёт проведения предварительных вычислений. Стоит отметить, что значение r не зависит от сообщения М и его хэш-значения m.

Какие виды электронной цифровой подписи наделены юридической силой

Федеральный закон «Об электронной подписи» №63-ФЗ выделяет два вида электронных подписей: простые и усиленные. Усиленные подписи бывают квалифицированные и неквалифицированные.

Простая ЭЦП.

Для создания такой подписи используются пароли, коды и другие средства. Простая электронная цифровая подпись – инструмент подтверждения подлинности электронных данных отправителем. Она считается действительной при соблюдении следующих условий:

• электронный документ подписан ЭЦП;
• ключ электронной подписи создан в соответствии с требованиями информационной системы, с помощью которой проводилась заверка и отправка электронных сообщений отправителем.

В нормативных и правовых документах, а также договорах участники в обязательном порядке определяют основные правила применения простой электронной цифровой подписи:

• механизм идентификации автора подписи в электронном документе;
• обязательное соблюдение требований конфиденциальности при использовании электронной подписи ответственными лицами;
• выполнение требований Федерального закона №63-ФЗ в отношении использования простой электронной цифровой подписи;
• невозможность применения ЭЦП к секретным государственным документам.

Усиленная неквалифицированная ЭП.

Для создания такой подписи используется криптографическая программа, работающая на основе ключа электронной цифровой подписи. Усиленная неквалифицированная подпись позволяет определить составителя документа, поставившего подпись, и наличие изменений в письме после его подписания. Применение неквалифицированной ЭП позволяет не использовать сертификат ключа электронной цифровой подписи (при условии соблюдения требований законодательства, других нормативных документов и договоров между отправителем и адресатом).

Усиленная квалифицированная ЭЦП.

Особенность этой разновидности электронной цифровой подписи в наличии специального ключа проверки, содержащегося в квалифицированном сертификате. Формирование и проверка усиленной квалифицированной ЭЦП происходит с помощью специальных средств электронной подписи, соответствующих требованиям Федерального закона №63-ФЗ.

Бумажные документы с рукописной подписью и электронные документы, на которых стоит усиленная квалифицированная подпись, имеют одинаковую юридическую силу (кроме случаев, признающих исключительно рукописную подпись, предусмотренных в законодательстве). Также законом допускается установление в нормативных актах и договорах между отправителем и получателем дополнительных требований к электронным документам, подписанным усиленной квалифицированной подписью.

Сравним рассмотренные виды электронной цифровой подписи по аналогии со знакомыми физическими средствами идентификации личности:

Простая ЭП похожа на бейдж – любой посторонний человек может ею воспользоваться, поэтому ответственность за сохранность данных лежит на владельце подписи.

Неквалифицированная ЭП аналогична пропуску в компании, при этом между сторонами сделки есть определённый уровень доверия.

Квалифицированная ЭП как паспорт – самый важный инструмент для идентификации, предоставляет возможность пользоваться всеми услугами.

В соответствии со ст. 7 Федерального закона «Об электронной подписи» ЭЦП, созданные по зарубежным стандартам, в Российской Федерации относятся к тому виду электронных подписей, признакам которого они соответствуют. Выдача сертификата ключа в иностранном государстве не может быть причиной непризнания юридической силы документа, на котором стоит такая подпись.

Как и где получить электронную цифровую подпись

Шаг 1. Выбор ЭП.

Для начала нужно понять, зачем вам электронная цифровая подпись. Например, вам нужен ключ для работы на сайте госуслуг. Или вы планируете сдавать отчётность во внебюджетные фонды, налоговые органы, федеральную службу по финансовому мониторингу или другие государственные и муниципальные органы. Также ЭЦП понадобится для участия в электронных аукционах или работы на электронных торговых площадках.

Шаг 2. Выбор удостоверяющего центра.

Список удостоверяющих центров, где можно получить электронную цифровую подпись, находится на сайте www.minsvyaz.ru (официальный интернет-ресурс Министерства связи и массовых коммуникаций). На главной странице сайта в разделе «Важно» есть активная ссылка «Аккредитация удостоверяющих центров», после клика по которой открывается окно, предлагающее скачать файл с актуальным перечнем аккредитованных удостоверяющих центров. По данным на 6.02.2018 г., в список входило 469 организаций.

Шаги 3 и 4. Заполнение заявки и оплата услуги.

После выбора удобного по расположению удостоверяющего центра нужно заполнить и отправить заявку на выпуск электронной цифровой подписи. Если нет возможности заполнить заявку на сайте, можно написать её вручную и передать сотрудникам в удостоверяющем центре. В заявке нужно указать Ф. И. О. получателя ЭЦП, электронный почтовый адрес и контактный телефон. Далее – оплатить услугу.

Шаг 5. Предоставление документов в удостоверяющий центр.

Одновременно с подачей заявления на создание сертификата ключа электронной цифровой подписи требуется передать определённый пакет документов.

Перечень документов для получения электронной цифровой подписи юридическими лицами

• свидетельство о государственной регистрации юридического лица (ОГРН);
• свидетельство о постановке на учёт в налоговом органе (ИНН);
• выписка из ЕГРЮЛ (оригинал или нотариально заверенная копия). Требования к сроку давности выписки у разных удостоверяющих центров отличаются, но обычно это не более 6 месяцев с момента её получения;
• страховое свидетельство государственного пенсионного страхования (СНИЛС) будущего владельца электронной цифровой подписи.

Если владельцем ЭЦП будет руководитель юридического лица, то требуется также приложить документ, подтверждающий его назначение на должность, заверенный подписью и печатью компании.

Если полномочия по владению ЭЦП планируется передать не руководителю, а сотруднику компании (уполномоченному представителю), то необходимо приложить к пакету документов доверенность о передаче соответствующих функций данному работнику, заверенную подписью и печатью компании. Если этот сотрудник будет подавать все необходимые документы и лично получать ЭЦП, то также нужно предоставить копии страниц его паспорта.

Перечень документов для индивидуальных предпринимателей (ИП)

• заявление на выдачу электронной цифровой подписи;
• свидетельство о государственной регистрации ИП;
• свидетельство о постановке на учет в налоговом органе (ИНН);
• выписка из ЕГРИП (оригинал или нотариально заверенная копия). Требования к сроку давности выписки у разных удостоверяющих центров могут не совпадать, но обычно это не более 6 месяцев с момента её получения;
• копии страниц паспорта будущего владельца электронной цифровой подписи: с фото и с данными о прописке;
• страховое свидетельство государственного пенсионного страхования (СНИЛС).

Если планируется, что электронную цифровую подпись для ИП будет получать уполномоченный представитель будущего владельца ЭП, то в удостоверяющий центр нужно также подать нотариально заверенную доверенность на указанного представителя.

В ситуации, когда будущий владелец электронной цифровой подписи хочет делегировать все обязанности по её получению своему уполномоченному представителю, то вместе с основным пакетом документов нужно предоставить и паспорт этого гражданина.

Шаг 6. Получение ЭП.

Для получения электронной цифровой подписи нужно предоставить в выбранный удостоверяющий центр оригиналы всех документов. После сверки информации они возвращаются владельцу ЭП.

Цена услуги по созданию электронной цифровой подписи может варьироваться в зависимости от следующих факторов:

• вид и сфера применения ЭП;
• особенности ценообразования в удостоверяющем центре;
• местонахождение удостоверяющего центра.

Конечная стоимость услуги складывается из нескольких составляющих:

• оформление и выпуск сертификата ключа электронной цифровой подписи;
• предоставление прав на работу со специализированным программным обеспечением;
• предоставление программ для работы с электронной цифровой подписью;
• передача ключа защиты носителя электронной цифровой подписи;
• техническая поддержка при работе с электронной цифровой подписью.

Например, итоговая стоимость ЭЦП для работы в электронных торгах составляет 5-7 тыс. рублей.

Срок выдачи электронной цифровой подписи может колебаться в диапазоне от часа до одной недели. Всё зависит от скорости подачи документов и оплаты услуг. В большинстве удостоверяющих центров ЭЦП изготавливают за 2-3 рабочих дня. Имейте в виду, что выписки из ЕГРЮЛ или ЕГРИП в налоговых органах выдают в течение 5 рабочих дней. Поэтому стоит получить их заблаговременно.

Срок действия электронной цифровой подписи 1 год. Поэтому ежегодно нужно её перевыпускать. Это можно сделать в любом удостоверяющем центре (не обязательно в том, где вы её получали).

Как реализуется надёжная защита электронной цифровой подписи

Одна из насущных проблем практического применения современной криптографии – обеспечение защиты информации электронной цифровой подписи, в первую очередь, ключа ЭП. Высокий уровень стойкости криптографических алгоритмов, в том числе разработанных в нашей стране, вынуждает злоумышленников красть файл электронной цифровой подписи с ключами, так как это единственный возможный способ взлома. Простой подбор ключа занимает слишком много времени и требует внушительных вычислительных ресурсов.

В соответствии с ГОСТ Р 34.10-2001 секретный ключ электронной цифровой подписи представляет собой 256 бит информации. Злоумышленники похищают эти данные из файлов пользователей, добывают из оперативной памяти или системного реестра. На теневом рынке сформировалась настоящая хакерская индустрия по производству программного обеспечения для кражи секретных ключей ЭЦП: различные трояны, руткиты, вирусы, эксплойты. Для того чтобы украсть ключ, не обязательно быть профессионалом, достаточно просто получить доступ к FLASH-носителю, на котором он хранится.

Создатели средств электронной цифровой подписи стараются обеспечить необходимую защиту секретных ключей. Есть разные методики шифрования ключа ЭЦП, хранящегося в файле. Пользователь придумывает пароль, который на основе специального алгоритма превращается в настоящий криптографический ключ шифрования. С его помощью и происходит шифрование ключевого контейнера. Минус в том, что защита такого рода может быть достаточно быстро взломана методом простого перебора паролей. Бонус для злоумышленников – неограниченное количество попыток и единственный критерий правильности (совпадение секретного и открытого ключей).

Похитить секретный ключ электронной цифровой подписи из системного реестра так же легко, как из ключевого контейнера в файле, потому что сам реестр тоже находится в файле.

Есть ещё одна сложность обеспечения безопасности хранения ключа ЭЦП. В операционной системе Windows происходит определённая «привязка» ключевого контейнера. Например, при первом подключении FLASH-носитель с ЭЦП определяется как «Съёмный диск G», а при последующей работе как «Съёмный диск K». В результате криптопровайдер не найдёт ключевые контейнеры по новому пути.

Кроме того, если секретный ключ ЭЦП находится в системном реестре, то могут возникнуть сложности с его переносом на другой компьютер.

Таким образом, обеспечение безопасного хранения ключа ЭЦП связано с множеством трудностей. Но какие последствия могут наступить в результате кражи ключевого контейнера? Рассмотрим потенциальные варианты такой гипотетической ситуации:

1. Злоумышленники могут украсть деньги со счёта через систему дистанционного банковского обслуживания (ДБО). Доказать незаконные действия хакеров практически невозможно, ведь на всех банковских операциях стоит ваша электронная цифровая подпись.
2. Защитная система ДБО предотвратила несанкционированные переводы денежных средств, заблокировав доступ к банковскому счёту. Деньги целы, но, возможно, важные сделки сорвались из-за несвоевременной оплаты.
3. Ваши конкуренты украли ключ ЭЦП и поставили подпись на поддельном коммерческом предложении или конкурсной заявке. В результате вы потратите время и силы на прояснение ситуации, а ваша компания будет отстранена от электронных торгов за недобросовестность.
4. Злоумышленники подписали с помощью похищенного ключа ЭЦП ложный отчёт, а вашу организацию оштрафовали.

Таким образом, кража ключа электронной цифровой подписи грозит вам потерей финансовых и временных ресурсов, ухудшением деловой репутации, срывом важных сделок, блокировкой банковских счетов и другими потенциальными и вполне реальными убытками. Даже если вы докажете факт кражи электронных данных, высока вероятность, что банк откажется возвращать похищенные деньги.

Хакеры могут и не рисковать и вместо похищения ключевого контейнера просто его удалить. Это приведёт к упущенным выгодам для владельца ЭЦП (недополученные доходы, срыв сделок) и непредвиденным расходам (потерянное время, оплата услуг по переоформлению ЭЦП).

Соблюдение правил информационной безопасности при использовании и хранении электронной цифровой подписи – залог бесперебойной работы всех участников электронного документооборота (банков, торговых площадок, владельцев ЭЦП, операторов по сдаче отчётности и др.).

Стоит иметь в виду, что владелец электронной подписи не должен давать свой секретный ключ другим сотрудникам компании. Ведь только он несёт ответственность за все документы, подписанные коллегами. Если есть подобная необходимость, следует сделать электронную цифровую подпись отдельно каждому сотруднику, имеющему право подписывать документы.

Мы уже говорили о небезопасности хранения ключевого контейнера в файле. Для устранения недостатков такой системы шифрования придумали отчуждаемые носители с собственной зашифрованной файловой системой, в которой располагается ключевой контейнер. В такой системе есть собственный управляющий микропроцессор, ограничивающий количество попыток взлома.

Например, в отечественной практике пользуются популярностью смарт-карты и USB-токены. Для активации секретного ключа ЭЦП пользователь вводит индивидуальный PIN-код. После нескольких некорректных попыток ввода доступ блокируется, что ограничивает возможности для взлома злоумышленниками.

В России популярны USB-токены благодаря ряду характеристик: надёжность, лёгкость использования и невысокая стоимость. Так, после выхода на рынок проекта «Рутокен-2001» было продано несколько миллионов USB-токенов этой компании. В некоторых сферах (например, при сдаче налоговой отчётности и в электронных торгах) Рутокены считаются стандартом безопасного хранения ключевых контейнеров.

Усовершенствованная вариация технологии USB-токенов работает на криптографических алгоритмах сразу «на борту» носителя. Секретный ключ не загружается в оперативную память компьютера, что исключает возможность его кражи вредоносными программами напрямую из компьютерной памяти. Такая технология активно используется в различных финансовых организациях, в частности, в системах ДБО организаций, где потенциальные убытки от кражи секретного ключа электронной цифровой подписи особенно высоки.

Как осуществляется проверка подлинности электронной цифровой подписи

Проверка электронной цифровой подписи проводится с помощью открытых онлайн-сервисов и специализированных программ. Результаты проверки позволяют выяснить, кто подписал электронный документ, провести аутентификацию подписи, выявить несанкционированные изменения в сообщении.

Многие современные информационные системы проверяют подлинность электронной цифровой подписи автоматически. Так, на сайте Росреестра (rosreestr.ru) можно легко определить подлинность ЭЦП на документе, полученном в ответ на запрос пользователя. Для этого нужно загрузить полученный файл с расширением *.sig в специальный сервис сайта и кликнуть по кнопке.

Схожие инструменты проверки можно найти и в других информационных системах, например, на электронных торговых площадках. Удостоверяющие центры также предоставляют пользователям сервисы для проверки подлинности ЭЦП. Кроме того, заинтересованные они могут провести эту процедуру самостоятельно с помощью специализированных программ.

В ходе проверки электронного документа сравнивается стоящая на нём электронная цифровая подпись, ключ ЭЦП, полученный от отправителя, и сертификат КЭП. Если адресат электронного письма не зарегистрирован ни в одном из действующих удостоверяющих центров, он может проверить подлинность ЭЦП самостоятельно:

1. В открытых онлайн-сервисах, таких как КонтурКрипто и др.
2. Установить на личном или рабочем компьютере программу КриптоПро CSP и скачать в неё базу сертификатов из публичных справочников удостоверяющих центров.
3. На сайте www.gosuslugi.ru/pgu/eds можно проверить электронную цифровую подпись, выданную только УЦ, прошедшими государственную аккредитацию.
4. Самый сложный способ – если у вас есть профессиональные знания и навыки, то вычислите хеш-функции на основе алгоритма шифрования.

Рассмотрим подробнее первые три способа, так как они более доступны для пользователей без компьютерного образования.

Проверка на КриптоПро CSP.

На официальном сайте разработчика можно скачать демо-версию программы и бесплатно пользоваться ей в течение двух недель, а потом купить полную версию. КриптоПро CSP позволяет не только проверять ЭЦП в электронных документах, но и подписывать собственные файлы, созданные в MS Word. После установки программы в выпадающем меню можно выбрать необходимое действие.

В дальнейшем КриптоПро CSP будет самостоятельно проводить проверку подписей во всех открытых документах, заверенных ЭЦП. В случае успешного результата пользователь увидит всплывающее окно

Если в ходе проверки программа предупредит, что сертификат полученного электронного документа невозможно проследить до корневого каталога, то пользователю следует переместить его в хранилище

Проверка электронной цифровой подписи на Портале госуслуг.

На сайте gosuslugi.ru можно легко проверить как собственную, так и полученную от отправителя в электронном документе квалифицированную ЭП и её сертификат. Онлайн-сервис сайта работает как с файлами с расширением *.sig, так и с текстовыми документами, в тело которых встроена ЭЦП.

Если сертификат и ЭП прошли проверку, то появляется сообщение «Действителен». Если нет, то сервис раскрывает причину: «Сертификат отозван» или «Не удалось проверить».

С помощью данного сервиса можно легко проверить и КЭП. Проверка в обоих случаях проходит в отношении только квалифицированных подписей, так как их сертификаты ключей находятся в открытых реестрах удостоверяющих центров. Вероятность того, что на документе будет недействительная электронная цифровая подпись, крайне низка, поскольку удостоверяющие центры следят за сроками действия их сертификатов.

Причины некорректной работы электронной цифровой подписи, и как их устранить

У большинства пользователей на электронных торговых площадках возникают трудности из-за некорректной работы электронной цифровой подписи. Подобные проблемы могут возникнуть в самый неподходящий момент, например, в ходе торгов, что приведёт к нежелательным результатам:

• заявка на участие в конкурсе не будет вовремя подана;
• участник проиграет электронный аукцион;
• контракт на оказание услуг государственным органам не будет подписан.

Типичные трудности при работе с электронной цифровой подписью:

1. На электронной торговой площадке не видно сертификата участника закупки.
2. Нет технической возможности поставить подпись на электронном документе.
3. При попытке входа на электронную площадку пользователь получает сообщение об ошибке.

На практике встречаются и другие проблемы, но мы рассмотрим способы решения самых популярных из них.

Сертификат ключа подписи не виден на площадке при попытке входа в систему.

Это может быть связано с одновременным действием нескольких факторов:

• сертификат ключа ЭЦП настроен неверно;
• интернет-браузер работает некорректно;
• нет корневого сертификата УЦ.

Как решить проблему?

Для начала проверьте, что установка открытой части сертификата на компьютере через программу КриптоПро прошла правильно. Также убедитесь, что ваша операционная система поддерживает версию программного обеспечения, установленного на компьютере. Далее в настройках браузера добавьте электронные адреса торговых площадок в категорию надёжных, включив все элементы ActiveX. И в конце проведите установку корневого сертификата УЦ, выдавшего ЭЦП, в доверенные корневые центры сертификации.

Электронная подпись выдаёт ошибку при подписании документов.

Такая проблема может возникать по следующим причинам:

• у вашей версии КриптоПро закончилась лицензия;
• вы вставили носитель с другим сертификатом.

Как это исправить?

Получите новую лицензию в УЦ, откройте программу КриптоПро на вашем компьютере и введите данные лицензии.

Если дело в носителе ЭЦП, то проверьте все закрытые контейнеры в USB-разъемах и правильность загрузки требуемого сертификата.

Система выдаёт ошибку при входе на электронную площадку.

Корни этой проблемы могут лежать в ранее рассмотренных причинах. Обычно трудности возникают из-за некорректной установки библиотеки Capicom. Для устранения проблемы проверьте, установлена ли эта библиотека на вашем компьютере и скопированы ли два системных файла с расширением.dll в одну из папок Windows, при использовании 64-разрядной системы.

Предварительное изучение инструкции по установке и настройке электронной цифровой подписи поможет избежать описанных проблемных ситуаций. Если у вас всё равно возникают сложности при работе с ЭЦП, вы можете обратиться к профессионалам нашей компании.

В России в электронном документообороте можно использовать три вида подписи: простую, усиленную неквалифицированную и усиленную квалифицированную. Посмотрим, чем они отличаются друг от друга, при каких условиях равнозначны собственноручной и придают подписанным файлам юридическую силу.

Простая электронная подпись, или ПЭП

Простая подпись — это знакомые всем коды доступа из СМС, коды на скретч-картах, пары “логин-пароль” в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.

Где используется?

Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг , для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).

Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.

Юридическая сила

Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:

• правила, по которым подписанта определяют по его простой электронной подписи.
• обязанность пользователя соблюдать конфиденциальность закрытой части ключа ПЭП (например, пароля в паре “логин-пароль” или СМС-кода, присланного на телефон).

Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.

Неквалифицированная электронная подпись, или НЭП

Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.

Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.

Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.

То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.

Где используется?

НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.

Юридическая сила

Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.

В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.

Что такое электронная подпись?

Электронная подпись - это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.

Справочно:

Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.

Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:

— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,

— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.

Возможности электронной подписи

Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.

Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.

Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.

Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?

Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.

Справочно:

Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.

Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).

Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.

Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.

Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.

Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?

Выданная электронная подпись состоит из 3 элементов:

1 - средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако». Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.

Справочно:

Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.

Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.

2 - ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них - ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.

3 - сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.

В соответствии с законодательством РФ различают:

— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;

— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.

Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.

Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:

1. Клиент приобрел средство электронной подписи.
2. Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
3. УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.

Вопрос безопасности

Требуемые свойства подписываемых документов:

• целостность;
• достоверность;
• аутентичность (подлинность; «неотрекаемость» от авторства информации).

Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.

С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.

Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.

Как подписать файл электронной подписью?

Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате.pdf. Нужно:

1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».

2. Пройти путь в диалоговых окнах криптопровайдера:

На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.

Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).

В блоке «Свойства подписи» выбираете «Подписано», при необходимости можно добавить комментарий. Остальные поля можно исключить/выбрать по желанию.

Из хранилища сертификатов выбираете нужный.

После проверки правильности поля «Владелец сертификата», нажимайте кнопку «Далее».

В данном диалоговом окне проводится финальная проверка данных, необходимых для создания электронной подписи, а затем после клика на кнопку «Готово» должно всплыть следующее сообщение:

Успешное окончание операции означает, что файл был криптографически преобразован и содержит реквизит, фиксирующий неизменность документа после его подписания и обеспечивающий его юридическую значимость.

Итак, как же выглядит электронная подпись на документе?

Для примера берем файл, подписанный электронной подписью (сохраняется в формате.sig), и открываем его через криптопровайдер.

Фрагмент рабочего стола. Слева: файл, подписанный ЭП, справа: криптопровайдер (например, КриптоАРМ).

Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Скриншот можно найти по

Но как же в итоге «выглядит» ЭЦП , вернее, как факт подписания обозначается в документе?

Открыв через криптопровайдер окно «Управление подписанными данными», можно увидеть информацию о файле и подписи.

При нажатии на кнопку «Посмотреть» появляется окно, содержащее информацию о подписи и сертификате.

Последний скриншот наглядно демонстрирует как выглядит ЭЦП на документе «изнутри».

Приобрести электронную подпись можно по .

Задавайте другие вопросы по теме статьи в комментариях, эксперты Единого портала Электронной подписи обязательно ответят Вам.

Статья подготовлена редакцией Единого портала Электронной подписи сайт с использованием материалов компании SafeTech.

При полном или частичном использовании материала гиперссылка на www..

Тема «Электронная цифровая подпись»

1. Понятие электронной цифровой подписи и ее техническое обеспечение

2. Организационное и правовое обеспечение электронной цифровой подписи.

1.Понятие электронной цифровой подписи и ее техническое

обеспечение

В мире электронных документов подписание файла с помощью графических символов теряет смысл, так как подделать и скопировать графический символ можно бесконечное количество раз. Электронная Цифровая Подпись (ЭЦП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа.

Особенности математического алгоритма создания и проверки ЭЦП гарантируют невозможность подделки такой подписи посторонними лицами,

ЭЦП – реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца ключа, а

также установить отсутствие искажения информации в электронном документе.

ЭЦП представляет собой определенную последовательность символов,

которая формируется в результате преобразования исходного документа (или любой другой информации) при помощи специального программного обеспечения. ЭЦП добавляется к исходному документу при пересылке. ЭЦП является уникальной для каждого документа и не может быть перенесена на другой документ. Невозможность подделки ЭЦП обеспечивается значительным количеством математических вычислений, необходимых для

её подбора. Таким образом, при получении документа, подписанного ЭЦП,

Применение ЭЦП обеспечивает: простое разрешение спорных ситуаций (регистрация всех действий участника системы во времени),

невозможность изменения заявки участника до даты окончания закупки.

Кроме того, ЭЦП способствует: снижению затрат на пересылку документов, быстрому доступу к торгам, проходящим в любой точке России.

Пользоваться электронной подписью достаточно просто. Никаких специальных знаний, навыков и умений для этого не потребуется. Каждому пользователю ЭЦП, участвующему в обмене электронными документами,

генерируются уникальные открытый и закрытый (секретный)

криптографические ключи.

Закрытый ключ – это закрытый уникальный набор информации объемом 256 бит, хранится в недоступном другим лицам месте на дискете,

смарт-карте, ru-token. Работает закрытый ключ только в паре с открытым

Открытый ключ - используется для проверки ЭЦП получаемых документов/файлов. Технически это набор информации объемом 1024 бита.

Открытый ключ передается вместе с Вашим письмом, подписанным ЭЦП.

Дубликат открытого ключа направляется в Удостоверяющий Центр, где создана библиотека открытых ключей ЭЦП. В библиотеке Удостоверяющего Центра обеспечивается регистрация и надежное хранение открытых ключей во избежание попыток подделки или внесения искажений.

Вы устанавливает под электронным документом свою электронную цифровую подпись. При этом на основе секретного закрытого ключа ЭЦП и содержимого документа путем криптографического преобразования вырабатывается некоторое большое число, которое и является электронно-

цифровой подписью данного пользователя под данным конкретным документом. Это число добавляется в конец электронного документа или сохраняется в отдельном файле.

В подпись, в том числе, записывается следующая информация: имя

файла открытого ключа подписи, информация о лице, сформировавшем подпись, дата формирования подписи.

Пользователь, получивший подписанный документ и имеющий открытый ключ ЭЦП отправителя на основании текста документа и открытого ключа отправителя выполняет обратное криптографическое преобразование, обеспечивающее проверку электронной цифровой подписи отправителя. Если ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких изменений. В противном случае будет выдаваться сообщение, что сертификат отправителя не является действительным.

Термины и Определения: Электронный документ - документ, в

котором информация представлена в электронно-цифровой форме.

Владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах

(подписывать электронные документы).

Средства электронной цифровой подписи - аппаратные и (или)

программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

Сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Пользователь сертификата ключа подписи - физическое лицо,

использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.

Информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.

Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц,

определенный ее владельцем или соглашением участников этой

информационной системы.

Удостоверяющий центр - юридическое лицо, выполняющее функции по: изготовлению сертификатов ключей подписей, созданию ключей электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи, приостановлению и возобновлению действие сертификатов ключей подписей, а также аннулированию их,

ведению реестра сертификатов ключей подписей, обеспечению его актуальности и возможности свободного доступа к нему участников информационных систем, проверке уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра, выдаче сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных

документов с информацией об их действии, осуществлению по обращениям пользователей сертификатов ключей подписей подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей, предоставлению участникам информационных систем иных связанных с использованием электронных цифровых подписей услуг.

При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.

2. Организационное и правовое обеспечение электронной

цифровой подписи.

Правовое обеспечение электронной цифровой подписи следует понимать не только как совокупность нормативно-правовых актов,

обеспечивающих правовой режим ЭЦП и средств ЭЦП. Это гораздо более широкое понятие. Оно лишь начинается с государственного закона об электронной цифровой подписи, но развивается далее и впоследствии охватывает все теоретические и практические вопросы, связанные с электронной коммерцией вообще.

Первый в мире закон об электронной цифровой подписи был принят в марте 1995 г. Законодательным собранием штата Юта (США) и утвержден Губернатором штата.

Закон получил название Utah Digital Signature Act. Ближайшими последователями штата Юта стали штаты Калифорния, Флорида, Вашингтон,

где вскоре тоже были приняты соответствующие законодательные акты.

В качестве основных целей первого закона об электронной подписи были провозглашены:

Минимизация ущерба от событий незаконного использования и подделки электронной цифровой подписи;

обеспечение правовой базы для деятельности систем и органов сертификации и верификации документов, имеющих электронную природу;

правовая поддержка электронной коммерции (коммерческих операций, совершаемых с использованием средств вычислительной техники);

придание правового характера некоторым техническим стандартам,

ранее введенным Международным союзом связи (ITU - International Telecommunication Union) и Национальным институтом стандартизации США (ANSI - American National Standards Institute), а также рекомендациям Наблюдательного совета Интернета (IAB - Internet Activity Board),

выраженным в документах RFC 1421 - RFC 1424.

Закон состоит из пяти частей:

В первой части вводятся основные понятия и определения, связанные с использованием ЭЦП и функционированием средств ЭЦП. Здесь же рассматриваются формальные требования к содержательной части электронного сертификата, удостоверяющего принадлежность открытого ключа юридическому или физическому лицу.

Вторая часть закона посвящена лицензированию и правовому регулированию деятельности центров сертификации.

Прежде всего, здесь оговорены условия, которым должны удовлетворять физические и юридические лица для получения соответствующей лицензии, порядок ее получения, ограничения лицензии и условия ее отзыва. Важным моментом данного раздела являются условия признания действительности сертификатов, выданных нелицензированными удостоверителями, если участники электронной сделки выразили им совместное доверие и отразили его в своем договоре. Фактически здесь закрепляется правовой режим сетевой модели сертификации, рассмотренной нами выше.

В третьей части закона сформулированы обязанности центров сертификации и владельцев ключей. В частности, здесь рассмотрены:

порядок выдачи сертификата;

порядок предъявления сертификата и открытого ключа;

условия хранения закрытого ключа;

действия владельца сертификата при компрометации закрытого

порядок отзыва сертификата;

срок действия сертификата;

условия освобождения центра сертификации от ответственности за неправомерное использование сертификата и средств ЭЦП;

порядок создания и использования страховых фондов,

предназначенных для компенсации ущерба третьим лицам, возникшего в результате неправомочного применения ЭЦП.

Четвертая часть закона посвящена непосредственно цифровой подписи.

Ее основное положение заключается в том, что документ, подписанный цифровой подписью, имеет ту же силу, что и обычный документ,

подписанный рукописной подписью.

В пятой части закона рассмотрены вопросы взаимодействия центров сертификации с административными органами власти, а также порядок функционирования так называемых репозитариев - электронных баз данных, в которых хранятся сведения об изданных и отозванных сертификатах.

В целом закон об ЭЦП штата Юта отличается от других аналогичных правовых актов высокой подробностью.

Германский закон об электронной подписи (Signaturgesetz) был введен в действие в 1997 г. и стал первым европейским законодательным актом такого рода. Целью закона объявлено создание общих условий для такого применения электронной подписи, при котором ее подделка или фальсификация подписанных данных могут быть надежно установлены.

В Законе прослеживаются следующие основные направления:

установление четких понятий и определений;

подробное регулирование процедуры лицензирования органов сертификации и процедуры сертификации открытых ключей пользователей средств ЭЦП (правовой статус, порядок функционирования центров

сертификации, их взаимодействие с государственными органами и другими центрами сертификации, требования к сертификату открытого ключа электронной подписи);

Рассмотрение вопросов защищенности цифровой подписи и данных,

подписанных с ее помощью, от фальсификации;

Порядок признания действительности сертификатов открытых ключей.

По своему духу германский Закон об электронной подписи является регулирующим.

В отличие от аналогичного закона Германии, Федеральный Закон об электронной подписи США является координирующим правовым актом. Это связано с тем, что ко времени его принятия соответствующее регулирующее законодательство уже сложилось в большинстве отдельных штатов.

Как видно из названия Закона (Electronic Signatures in Global and National Commerce Act), его основное назначение состоит в обеспечении правового режима цифровой электронной подписи в электронной коммерции. Подписание Закона Президентом США состоялось в день национального праздника - 4 июля 2000 г. (День независимости), что должно придать этому законодательному акту особое значение. По мнению обозревателей принятие данного закона символизирует вступление человечества в новую эру - эру электронной коммерции.

ответственных за функционирование ее инфраструктуры. Не сосредоточиваясь на конкретных правах и обязанностях центров сертификации, которым уделяется особое внимание в законодательствах других стран, Федеральный Закон США относит их к понятию инфраструктура ЭЦП и в самых общих чертах оговаривает взаимодействие элементов этой структуры с правительственными органами.

В России с основными положениями Федерального Закона об

электронной подписи можно познакомиться на примере проекта. Согласно проекту, Закон состоит из пяти глав и содержит более двадцати статей.

В первой главе рассмотрены общие положения, относящиеся к Закону.

Как и аналогичные законы других государств, российский законопроект опирается на несимметричную криптографию. Основной целью Закона провозглашается обеспечение правовых условий для применения ЭЦП в электронном документообороте и реализации услуг по удостоверению ЭЦП участников договорных отношений.

Во второй главе рассмотрены принципы и условия использования электронной подписи. Здесь, во-первых, выражена возможность, а во-вторых,

приведены условия равнозначности рукописной и электронной подписи.

Кроме того, особо акцентировано внимание на характерных преимуществах ЭЦП:

лицо может иметь неограниченное количество закрытых ключей ЭЦП, то есть, создать себе разные электронные подписи и использовать их в разных условиях;

все экземпляры документа, подписанные ЭЦП, имеют силу оригинала.

Проект российского Закона предусматривает возможность ограничения сферы применения ЭЦП. Эти ограничения могут накладываться федеральными законами, а также вводиться самими участниками электронных сделок и отражаться в договорах между ними.

Интересно положение статьи о средствах ЭЦП, в которой закрепляется утверждение о том, что «средства ЭЦП не относятся к средствам,

обеспечивающим конфиденциальность информации». На самом деле это не совсем так. По своей природе средства ЭЦП, основанные на механизмах несимметричной криптографии, конечно же, могут использоваться для защиты информации. Возможно, это положение включено для того, чтобы избежать коллизий с другими нормативными актами, ограничивающими применение средств криптографии в обществе.

Важным отличием от аналогичных законов других государств является

положение российского законопроекта о том, что владелец закрытого ключа несет ответственность перед пользователем соответствующего открытого ключа за убытки, возникающие в случае ненадлежащим образом организованной охраны закрытого ключа.

Еще одной отличительной чертой российского законопроекта является список требований к формату электронного сертификата. Наряду с общепринятыми полями, рассмотренными нами выше, российский законодатель требует обязательного включения в состав сертификата наименования средств ЭЦП, с которыми можно использовать данный открытый ключ, номер сертификата на это средство и срок его действия,

наименование и юридический адрес центра сертификации, выдавшего данный сертификат, номер лицензии этого центра и дату ее выдачи. В

зарубежном законодательстве и в международных стандартах мы не находим требований столь подробного описания программного средства ЭЦП, с

помощью которого генерировался открытый ключ. По-видимому, это требование российского законопроекта продиктовано интересами безопасности страны.

Массовое применение программного обеспечения, исходный код которого не опубликован и потому не может быть исследован специалистами, представляет общественную угрозу. Это относится не только к программным средствам ЭЦП, но и вообще к любому программному обеспечению, начиная с операционных систем и заканчивая прикладными программами.

В третьей главе рассмотрен правовой статус центров сертификации (в

терминологии законопроекта - удостоверяющих центров открытых ключей электротой подписи). В России оказание услуг по сертификации электронной подписи является лицензируемым видом деятельности, которым могут заниматься только юридические лица. Удостоверение электронной подписи государственных учреждений могут осуществлять только государственные удостоверяющие центры.

По своему характеру структура органов сертификации -