Електронний цифровий підпис складається із двох частин. Види електронного підпису (ЕЦП)

"Бюджетні установи: ревізії та перевірки фінансово-господарської діяльності", 2011, N 8

На етапі розвитку російського суспільства на процеси повсякденної діяльності активно впроваджуються нові високопродуктивні інформаційно-телекомунікаційні технології. Процес обміну електронними документами значно відрізняється від обміну документами на паперових носіях, оскільки існує проблема підтвердження справжності інформації, що міститься в них, та її відповідності змісту волевиявлення людини, яка вирішується за допомогою використання. електронного підпису. Електронний підпис досить широко застосовується у діяльності державних (муніципальних) установ як при наданні державних (муніципальних) послуг, взаємодії з органами Федерального казначейства, поданні звітності, так і в ряді інших випадків.

З 08.04.2011 набрав чинності Федеральний закон від 06.04.2011 N 63-ФЗ "Про електронний підпис" (далі - Федеральний закон N 63-ФЗ), який регулює відносини у сфері використання електронних підписів під час здійснення цивільно-правових угод, надання державних та муніципальних послуг, виконанні державних та муніципальних функцій, скоєнні інших юридично значимих дій. У зв'язку з його виданням з 01.07.2012 перестане діяти Федеральний закон від 10.01.2002 N 1-ФЗ "Про електронну цифровий підпис(далі - Федеральний закон N 1-ФЗ).

Які причини ухвалення нового Закону?

Федеральний закон N 1-ФЗ має концептуальні та юридично-технічні недоліки, які не дозволили забезпечити правові умови для широкого застосування електронного цифрового підпису в РФ, зокрема:

• використання єдиної технології електронного цифрового підпису (заснованої на так званій технології асиметричних ключів підпису) призводить до необхідності використання єдиної ієрархічної системи центрів, що засвідчують, і зобов'язує застосовувати сертифіковані засоби електронного цифрового підпису;
• положення Закону не відповідають основним принципам, що реалізуються в іноземному законодавстві та міжнародне правопри здійсненні правового регулювання електронних підписів, таких як "технологічна нейтральність" законодавства, правове визнання різних видів електронного підпису, вільне використання коштів електронного підпису, акредитація центрів, що засвідчують;
• сфера регулювання Закону недостатня: з неї виключені відносини як щодо використання інших видів електронного підпису, так і не є цивільно-правовими угодами;
• не допускається електронний цифровий підпис юридичних осіб.

Дані недоліки неможливо широко використовувати положення Федерального закону N 1-ФЗ в правозастосовчої практиці. Ухвалений Федеральний закон N 63-ФЗ спрямований на усунення зазначених вище недоліків, розширення сфери використання та допустимих видів електронних підписів. У той же час він зберігає існуючу практику використання електронного цифрового підпису.

Які є види електронного підпису?

Відповідно до ст. 2 Федерального закону N 63-ФЗ електронний підпис- це інформація в електронній формі, яка приєднана до іншої інформації в електронній формі (інформації, що підписується) або іншим чином з нею пов'язана і яка використовується для визначення особи, яка підписує інформацію.

Для довідки. Стаття 3 Федерального закону N 1-ФЗ характеризує електронний підпис як реквізит електронного документа, призначений для його захисту від підробки, отриманий внаслідок криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису та що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити в електронний документ.

Відповідно до ст. 5 Федерального закону N 63-ФЗ електронний підпис може бути двох видів: простий і посилений. У свою чергу, посилений електронний підпис може бути некваліфікованим або кваліфікованим. Слід зазначити, що Федеральний закон N 1-ФЗ не передбачає аналогічного поділу, що ми згадували вище.

Простий електронний підпис.Простий електронний підпис - це електронний підпис, який за допомогою використання кодів, паролів або інших засобів підтверджує факт формування електронного підпису певною особою (п. 2 ст. 5 Федерального закону N 63-ФЗ).

Електронний документ вважається підписаним простим електронним підписом під час виконання однієї з таких умов (п. 1 ст. 9 Федерального закону N 63-ФЗ):

• простий електронний підпис міститься в самому електронному документі;
• ключ простого електронного підпису (унікальна послідовність символів, призначена для створення електронного підпису) застосовується відповідно до правил, встановлених оператором інформаційної системи, з використанням якої здійснюються створення та (або) відправлення електронного документа, і у створеному та (або) надісланому електронному документі міститься інформація, що вказує на особу, від імені якої було створено та (або) відправлено електронний документ.

Для використання простого електронного підпису, а також з метою визнання електронних документів рівнозначними документами на паперових носіях угоди між учасниками електронної взаємодії (нормативні правові акти) повинні обов'язково передбачати:

• правила визначення особи, яка підписує електронний документ, за її простим електронним підписом;
• обов'язок особи, яка створює та (або) використовує ключ простого електронного підпису, дотримуватися його конфіденційності.

Нагадаємо, що електронний документ - це документована інформація, подана в електронній формі, тобто у вигляді, придатному для сприйняття людиною з використанням електронно-обчислювальних машин, а також для передачі інформаційно-телекомунікаційними мережами або обробки в інформаційних системах (ст. 2 Федерального закону від 27.07.2006 N 149-ФЗ "Про інформацію, інформаційні технології та захист інформації").

Зверніть увагу! Не допускається використання простого електронного підпису для підписання електронних документів, що містять відомості, що становлять державну таємницю, або в інформаційній системі, що містить відомості, що становлять державну таємницю (п. 4 ст. 9 Федерального закону N 63-ФЗ).

Посилений електронний підпис.На відміну від простого, посилений електронний підпис застосовується у випадках, коли відповідно до чинного законодавства або звичаїв ділового обороту документ повинен бути не тільки підписаний керівником державної (муніципальної) установи (особою, ним уповноваженою), а й завірений печаткою (п. 3 ст. 6 Федерального закону N 63-ФЗ).

Як уже було зазначено, посилений електронний підпис буває некваліфікованим та кваліфікованим.

Відповідно до ст. 10 Федерального закону N 63-ФЗ під час використання посилених електронних підписів необхідно:

• забезпечувати конфіденційність ключів електронних підписів, зокрема не допускати використання ключів електронних підписів, що належать установі, без її згоди;
• повідомляти засвідчувальний центр, який видав сертифікат ключа перевірки електронного підпису, та інших учасників електронної взаємодії про порушення конфіденційності ключа електронного підпису протягом не більше одного робочого дня з дня отримання інформації про таке порушення;
• не використовувати ключ електронного підпису за наявності підстав вважати, що його конфіденційність порушена;
• використовувати для створення та перевірки кваліфікованих електронних підписів, створення ключів кваліфікованих електронних підписів та ключів їх перевірки кошти електронного підпису, які отримали підтвердження відповідності вимогам.

Чи визнаються електронні документи рівнозначними документами на паперовому носії?

Інформація в електронній формі, підписана кваліфікованим електронним підписом, визнається електронним документом, рівнозначним документу на паперовому носії, підписаному власноручним підписом, за винятком випадків, коли законодавством встановлено вимогу щодо необхідності складання документа виключно на паперовому носії. Крім того, нормативними актамиабо угодою між учасниками електронної взаємодії можуть бути передбачені додаткові вимоги до електронного документа з метою визнання його рівнозначним документом на паперовому носії, завіреному печаткою.

Кваліфікований підпис визнається дійсним аж до встановлення іншого судом при виконанні наступних умов (ст. 11 Федерального закону N 63-ФЗ):

• кваліфікований сертифікат створено та видано акредитованим посвідчувальним центром, акредитація якого дійсна на день видачі зазначеного сертифіката;
• кваліфікований сертифікат є дійсним на момент підписання електронного документа (за наявності достовірної інформації про момент підписання електронного документа) або на день перевірки дійсності зазначеного сертифіката, якщо момент підписання електронного документа не визначений;
• є позитивний результатперевірки належності власнику кваліфікованого сертифіката кваліфікованого електронного підпису, за допомогою якого підписано електронний документ, та підтверджено відсутність змін у цьому документі після його підписання;
• кваліфікований електронний підпис використовується з урахуванням обмежень, що містяться у кваліфікованому сертифікаті особи, яка підписує електронний документ (якщо такі обмеження встановлені).

Відповідно до п. 2 ст. 6 Федерального закону N 63-ФЗ електронний документ, підписаний простим або некваліфікованим електронним підписом, визнається рівнозначним документу на паперовому носії, підписаному власноручним підписом, у випадках, встановлених законодавством або угодою між учасниками електронної взаємодії. При цьому зазначені угоди чи нормативні акти мають передбачати порядок перевірки електронного підпису, а також відповідати вимогам, встановленим у ст. 9 Федерального закону N 63-ФЗ.

Як отримати кошти електронного підпису?

Для створення та перевірки електронного підпису, створення ключа електронного підпису та ключа перевірки електронного підпису повинні використовуватись кошти електронного підпису, які (п. 1 ст. 12 Федерального закону N 63-ФЗ):

• дозволяють встановити факт зміни підписаного електронного документа після його підписання;
• забезпечують практичну неможливість обчислення ключа електронного підпису із електронного підпису або ключа його перевірки.

Для отримання коштів електронного підпису та укладання договору на їх обслуговування установі необхідно звернутися до одного з центрів, що засвідчують. Нагадаємо, що посвідчувальний центр - юридична особа або індивідуальний підприємець, які здійснюють функції створення та видачі сертифікатів ключів перевірки електронних підписів, а також інші функції (ст. 2 Федерального закону N 63-ФЗ). Завданнями посвідчувального центру є створення та видача сертифікатів на підставі угоди між центром, що засвідчує, і заявником. Крім того, що засвідчує центр (п. 1 ст. 13 Федерального закону N 63-ФЗ):

• встановлює термін дії сертифікатів ключів перевірки електронних підписів;
• анулює видані цим центром, що засвідчує, сертифікати ключів перевірки електронних підписів;
• видає за зверненням заявника кошти електронного підпису, що містять ключ електронного підпису та ключ перевірки електронного підпису (у тому числі створені засвідчувальним центром) або що забезпечують можливість створення ключа електронного підпису та ключа перевірки електронного підпису заявником;
• веде реєстр виданих та анулюваних цим посвідчувальним центром сертифікатів ключів перевірки електронних підписів, у тому числі включає інформацію, що міститься у виданих цим посвідчуючим центром сертифікатах ключів перевірки електронних підписів, та інформацію про дати припинення дії або анулювання сертифікатів ключів перевірки такого припинення чи анулювання;
• встановлює порядок ведення реєстру сертифікатів, що не є кваліфікованими, та порядок доступу до нього, а також забезпечує доступ осіб до інформації, що міститься у реєстрі сертифікатів, у тому числі з використанням Інтернету;
• створює за зверненнями заявників ключі електронних підписів та ключі перевірки електронних підписів;
• перевіряє унікальність ключів перевірки електронних підписів у реєстрі сертифікатів;
• здійснює за зверненнями учасників електронної взаємодії перевірку електронних підписів;
• здійснює іншу пов'язану з використанням електронного підпису діяльність.

Наприклад, Надання коштів електронного підпису з метою розміщення інформації про замовлення на офіційному сайті РФ в Інтернеті для розміщення інформації про замовлення на постачання товарів, виконання робіт, надання послуг здійснюється Федеральним казначейством. Порядок надання електронного підпису в даному випадкурегламентується Наказом Мінекономрозвитку Росії N 647, Федерального казначейства N 22н від 14.12.2010 "Про затвердження Порядку реєстрації користувачів на офіційному сайті Російської Федераціїв мережі Інтернет для розміщення інформації про розміщення замовлень на поставки товарів, виконання робіт, надання послуг" (далі - Порядок). Так, для отримання сертифікатів ключів необхідно подати до територіального органу Федерального казначейства за місцем розташування установи на паперовому носії (а за наявності технічної можливості - у вигляді електронного документа) в одному примірнику:

• відомості про організацію за формою, наведеною у Додатку 1 до Листа Казначейства РФ від 14.03.2011 N 42-7.4-05/10.0-160. Забороняється включати у вказану форму відомості, що становлять державну таємницю;
• Картку зразків підписів до лицьових рахунків (за формою 0531753, затвердженої Наказом Федерального казначейства від 07.10.2008 N 7н "Про порядок відкриття та ведення особових рахунків Федеральним казначейством та його територіальними органами" (далі - Наказ N 7н));
• копію установчого документа (статуту), засвідчену засновником або нотаріально. Її подання не вимагається від органів державної влади ( місцевого самоврядування) чи його територіальних органів, федеральних казенних установ, які мають власного становища (статуту) і діють виходячи з загального становища (статуту), територіальних державних позабюджетних фондів, державної корпорації (державної компании);
• копію документа про державну реєстрацію юридичної особи, засвідчену засновником або нотаріально або органом, який здійснив державну реєстрацію;
• копію свідоцтва про постановку юридичної особи на облік у податковому органі, засвідчену нотаріально або податковим органом, що її видав;
• копію нормативного правового акта суб'єкта РФ про створення відповідного територіального державного позабюджетного фонду (тільки для територіальних державних позабюджетних фондів). Завіряти вказану копію не потрібно;
• копію документа про відкриття рахунку в кредитній організації, на який мають перераховуватися кошти учасників розміщення замовлення, виданого відповідною кредитною організацією, засвідчену нотаріально, якщо відповідної організації не відкритий особовий рахунок в органі Федерального казначейства (для державної корпорації, державної компанії, унітарного підприємства, організації, що має частку державної участі, суб'єкта природної монополії).

Як використовується електронний підпис під час роботи з органами Федерального казначейства?

Відповідно до п. 1.3 Порядку касового обслуговування виконання федерального бюджету, бюджетів суб'єктів Російської Федерації та місцевих бюджетів та порядку здійснення органами Федерального казначейства окремих функцій фінансових органів суб'єктів Російської Федерації та муніципальних утвореньпо виконанню відповідних бюджетів, затвердженого Наказом Федерального казначейства від 10.10.2008 N 8н, інформаційний обмін між державними (муніципальними) установами та Федеральним казначейством або органами Федерального казначейства здійснюється в електронному вигляді із застосуванням коштів електронного підпису відповідно до законодавця ) про обмін електронними документами, укладеного між установами та Федеральним казначейством, та вимогами, встановленими законодавством РФ.

При укладанні органами Федерального казначейства договорів про обмін електронними документами з головними розпорядниками, розпорядниками, одержувачами, адміністраторами надходжень, фінансовими органами всіх рівнів бюджетної системи РФ рекомендується використовувати прикладний договір про обмін електронними документами (див. Лист Федерального казначейства від 20.03.2007). 7.1-17/10.1-102 "Про зразковий договір про обмін електронними документами").

Органи Федерального казначейства при прийомі платіжних документів, поданих в електронному вигляді відповідно до договору про обмін електронними документами, для звірки підпису особи, яка підписала електронний платіжний документ, з її зразком використовують сертифікат відкритого ключа електронного підпису, виданий в установленому порядку особі, яка підписує електронні платіжні документи. . При цьому електронний платіжний документ може бути підписаний кількома електронними підписами осіб, які отримали в установленому порядку сертифікат відповідно до договору.

Чи можна використовувати електронний підпис під час надання державних та муніципальних послуг?

Порядок використання інформаційно-телекомунікаційних технологій при наданні державних та муніципальних послуг встановлено ст. ст. 21.1, 21.2 Федерального закону від 27.07.2010 N 210-ФЗ "Про організацію надання державних та муніципальних послуг" (далі - Федеральний закон N 210-ФЗ).

Державні та муніципальні послуги надаються в електронній формі у разі, якщо вони включені до переліку, встановлений Урядом РФ. Вищий виконавчий орган державної влади суб'єкта РФ вправі затвердити додатковий перелік послуг, що надаються в суб'єкті РФ державними та муніципальними установами та іншими організаціями, в яких розміщується державне завдання (замовлення) суб'єкта РФ або муніципальне завдання(замовлення), що підлягають включенню до Реєстру державних або муніципальних послуг та надаються в електронній формі.

Звернення за отриманням та надання державної чи муніципальної послуги можуть здійснюватися з використанням електронних документів, підписаних електронним підписом відповідно до вимог Федерального закону N 63-ФЗ.

Правила використання простих електронних підписів при наданні державних та муніципальних послуг, у тому числі правила створення та видачі ключів простих електронних підписів, та перелік органів та організацій, які мають право на створення та видачу ключів простих електронних підписів з метою надання державних та муніципальних послуг, встановлюються Урядом РФ і повинні передбачати зокрема (ст. 21.2 Федерального закону N 210-ФЗ):

• вимоги, яким мають відповідати прості електронні підписи та (або) технології їх створення;
• Методи встановлення особи при видачі йому ключа простого електронного підпису з метою отримання державних та муніципальних послуг.

Відповідно до п. 2 ст. 21.2 Федерального закону N 210-ФЗ при наданні державних та муніципальних послуг з використанням простих електронних підписів повинні забезпечуватися:

• можливість безкоштовного отриманнябудь-якими особами ключів простих електронних підписів для використання з метою отримання державних та муніципальних послуг;
• відсутність необхідності використання фізичними та юридичними особами програмних та апаратних засобів, спеціально призначених для отримання державних та муніципальних послуг з використанням простих електронних підписів.

Зауважимо, що зараз у тестовому порядку працює портал державних послуг (www.gosuslugi.ru), на якому можна отримати деякі державні послуги в електронному вигляді.

Ю.Васильєв

генеральний директор

Електронний цифровий підпис – основа електронного документообігу із застосуванням сучасних інформаційних технологій. Вона є невід'ємною частиною роботи таких проектів, як Банк-Клієнт (автоматизовані банківські системи віддаленого доступу), платіжних систем на основі smart-карт, системи електронних інтернет-платежів та ін.

Що являє собою система цифрового електронного підпису

Основне призначення електронного цифрового підпису, що є особливою математичною схемою, – підтвердити справжність електронних документів або повідомлень. Надійний цифровий підпис гарантує одержувачу, що документ був створений відправником і в процесі передачі не змінено.

Електронні цифрові підписи активно застосовуються під час здійснення фінансових операцій, поширення програмного забезпечення, соціальній та інших проектах, потребують підтвердження справжності електронного повідомлення.

Варто розрізняти поняття «цифровий підпис» та «електронний підпис». Перший термін має більш загальний характер, оскільки відноситься до будь-яких електронних даних. При цьому не всі підписи є цифровими.

У цифрових підписах застосовується асиметрична криптографія. Вони мають захистити електронні повідомлення, що надсилаються небезпечним каналом. Цифровий підпис, створений за всіма правилами, гарантує, що повідомлення надіслано укладачем. По суті, цифровий підпис та друк – повноцінний замінник фізичних печаток та підписів, поставлених вручну. Відмінність у тому, що цифрові складніше підробити.

Одна із сфер застосування електронного цифрового підпису – підтвердження достовірності повідомлень та документів, що передаються електронною поштою за допомогою криптографічного протоколу. В основі ЕЦП лежить принцип безвідмовності, згідно з яким особа, яка підписала документ, не може довести, що не ставила підпис на надісланому повідомленні.

Роль цифрового підпису в електронній комерції та документообігу

Популярність ЕП неухильно зростає. Керівники компаній хочуть зменшити завантаженість своїх працівників та скоротити обсяги паперового документообігу. Адже за допомогою ЕЦП та інші співробітники зможуть набагато швидше підписувати документи, що скоротить час простоїв та забезпечить зростання ефективності бізнес-процесів в організації.

Федеральний закон «Про електронний цифровий підпис» визначає ЕЦП як рівнозначну за юридичною силою рукописного підпису та фізичного друку на традиційному документі у паперовому вигляді. Це дозволяє організаціям різних галузей та напрямів діяльності активно використовувати її в електронному документообігу.

Але сфера застосування ЕЦП цим не обмежується. Вона також використовується для підтвердження авторства, цілісності, справжності та актуальності будь-яких електронних повідомлень і дозволяє перевірити, чи вносилися якісь зміни до документа, що передається сторонніми людьми.

Прискорення всіх процесів у житті та бізнесі змушує власників компаній оптимізувати організаційні процеси, впроваджувати різні системиавтоматизації. Електронна торгівля – один із таких інструментів. Для участі в торгах потрібен електронний цифровий підпис, який дозволяє:

• гарантувати достовірність завантажених учасниками електронних документів;
• організаторам підписувати конкурси, аукціони та заявки;
• підписувати заявки на торгах;
• використовувати електронні документи нарівні із паперовими;
• забезпечити справжність та цілісність електронних документів, не допустити їх підробки;
• уникнути виникнення спірних ситуацій через некоректне надсилання документів та подання заявок.

Застосування цифрових технологій в електронній торгівлі може сприяти найближчому майбутньому внесенню кардинальних змін до практики ведення ділових переговорів. Насамперед, за рахунок використання цифрових каналів зв'язку та скорочення витрат на комунікацію. Так електронний цифровий підпис надає власникам малого та середнього бізнесу доступ до міжнародних ринків електронної торгівлі.

Нещодавно для обміну повідомленнями або документами застосовували факс. Цінні паперитакож надсилали поштою або кур'єрською службою. Тепер можна надсилати всю необхідну документацію, що має відповідну юридичну силу, у найкоротші терміни та без посередників. Адже електронний цифровий підпис у документообігу повністю замінює власноручну та підтверджує її справжність, гарантуючи, що в документ не вносилися виправлення сторонніми користувачами.

Економічна доцільність переходу на обмін електронними документами очевидна: у такому вигляді їх простіше зберігати та передавати. Для цього потрібно лише оформити електронний цифровий підпис в одному зі спеціальних центрів, що засвідчують.

Ще однією перевагою електронного документообігу є високий рівень захисту даних, що передаються. Для ЕЦП використовується спеціальний криптопровайдер із кваліфікованим сертифікатом. Максимальний захист забезпечується спеціальними апаратно-програмними комплексами (ключі I-Token або смарт-карти), в яких знаходиться безпечне сховище для застосування PIN-кодів при роботі з кваліфікованим сертифікатом. Якщо під час введення PIN-коду робиться кілька невдалих спроб, сертифікат блокується і перестає працювати.

Особливості використання електронного цифрового підпису

Перед використанням ЕЦП для візування документів необхідно врахувати наступне:

1. Справжність підпису можна перевірити на основі даних, що знаходяться у відкритому доступі. При цьому вона створюється із фіксованого повідомлення та закритого ключа електронного цифрового підпису.
2. Не можна підробити або підібрати підпис без секретного ключа.

Застосування ЕЦП є доцільним та актуальним не тільки в організації документообігу юридичних осіб (для запевнення справжності, авторства, ідентичності та статусу документів), а й фізичних у тому числі. Наприклад, вона може бути використана для підтвердження поінформованої згоди або схвалення однієї із сторін, які підписали договір.

Електронний цифровий підпис застосовується під час аутентифікації джерела листа. Це пов'язано з тим, що навіть якщо документ має всю необхідну інформацію, складно гарантувати справжність відправника. Ключ електронного цифрового підпису закріплюється за певним користувачем. Такий механізм гарантує, що листа було надіслано власником ЕЦП. Це особливо актуально для фінансових та банківських організацій.

Ще один напрямок застосування ЕЦП – підтвердження, що лист було доставлено в цілості та збереження і в процесі передачі до нього не було внесено жодних коригування зловмисниками. Шифрування із застосуванням ключа ЕЦП не забезпечує 100% захисту від внесення змін до вихідного повідомлення сторонніми користувачами. Але при розшифровці листа адресат отримає інформацію у випадку, якщо порушена цілісність листа. Це з тим, що будь-які дії з повідомленням, підписаним електронним цифровим підписом, призводять до її дезактивації. Для того щоб знову поставити підпис на зміненому документі, потрібно мати доступ до нього. Тому ймовірність такого розвитку подій вкрай мала.

Також електронний цифровий підпис – один із дієвих інструментів підтвердження походження документа або повідомлення. Тобто електронний цифровий підпис для юридичних осіб – гарантія невідмовності чи неможливості заперечення факту, що організація підписала електронний документ. Цей принцип роботи ЕЦП можна застосувати і щодо фізичних осіб.

Варто мати на увазі, що справжність та безвідмовність листа, підписаного ЕЦП, можливі лише в тому випадку, якщо секретний ключ не відкликаний перед використанням. При цьому відкриті ключі анулюються одночасно із секретними. За попереднім запитом ЕП перевіряється на можливість відкликання.

Будь-які криптосистеми, основу роботи яких лежить використання відкритого чи закритого ключа, безпосередньо залежить від ступеня секретності цих даних. Користувач може зберігати ключ електронного підпису на своєму робочому комп'ютері, захистивши його паролем. Але такий варіант має свої недоліки:

• підписувати документи можна лише на комп'ютері власника ЕЦП;
• Безпека даних ЕЦП залежить від захищеності робочого комп'ютера користувача.

Набагато надійніше зберігати секретний ключ на смарт-картах, оскільки більшість із них мають високий рівень захисту від змін несанкціонованими користувачами.

Для активації смарт-картки користувач вводить спеціальний PIN-код. Така схема двофакторної аутентифікації забезпечує додатковий захист електронного цифрового підпису. У разі крадіжки або зникнення смарт-картки для її активації та використання ЕЦП також потрібно буде ввести PIN-код, що зменшує рівень безпеки цієї схеми. Обнадіює той факт, що ключі ЕЦП, що знаходяться на смарт-картах, існують в єдиному екземплярі і не копіюються. Тому власник електронного цифрового підпису, виявивши зникнення, може швидко заблокувати їхню дію. Ключі, що зберігаються на комп'ютері користувача, набагато простіше скопіювати, а факт витоку інформації складніше виявити. Тому дуже важливо застосовувати додатковий захист електронного цифрового підпису.

Які алгоритми використовуються в роботі електронного цифрового підпису

Цифрова схема підпису включає одночасно три алгоритми електронного цифрового підпису:

1. Алгоритм генерації ключа, який відбирає секретний ключ рівномірним і випадковим чином з безлічі можливих окремих варіантів. Одночасно генеруються секретний та відкритий ключі, які йдуть у парі.
2. Алгоритм підпису, який на основі закритого ключа підписує повідомлення електронної пошти.
3. Перевірочний алгоритм електронного цифрового підпису, який на основі відкритого ключа, підпису та повідомлення визначає справжність та приймає рішення про можливість або неможливість відправлення електронного листа.

Алгоритм цифрового підпису RSA.

Одна з перших і найпоширеніших систем ЕЦП працює на основі алгоритму RSA. Все починається з обчислення відкритого та закритого ключа. Відправник електронного листа повинен обчислити два великі прості числа P і Q, а потім розрахувати твір і знайти значення функції:

N = P * Q; φ (N) = (Р-1) (Q-1).

Потім потрібно визначити значення Е із умов:

Е £ φ (N), НОД (Е, φ (N)) = 1

та значення D:

D< N, Е*D º 1 (mod j (N)).

Числа E і N є відкритим ключем. Ці показники автор надсилає адресатам електронного листа для автентифікації електронного цифрового підпису. Параметр D – секретний ключ, за допомогою якого автор підписує повідомлення. Схематично робота алгоритму представлена ​​малюнку:

Недоліки застосування алгоритму RSA для формування електронного цифрового підпису:

1. Обчислення значень параметрів N, E та D – процес трудомісткий, оскільки потребує перевірки великої кількості додаткових умов. При цьому якщо хоча б одне з них не буде виконано, виникає ризик підробки електронного цифрового підпису.
2. Висока стійкість до фальсифікації ЕЦП, створеної за алгоритмом RSA, забезпечується рахунок істотних витрат за обчислення (на 20-30 % більше, ніж в інших алгоритмів).

Алгоритм цифрового підпису Ель-Гамаль (EGSA).

Головна ідея цього алгоритму – неможливість підробки електронного цифрового підпису. Для реалізації такої мети потрібно вирішити складнішу обчислювальну задачу, а не просто розкласти на множники велике ціле число. Крім того, розробник Ель-Гамаль зміг усунути недоліки алгоритму RSA та запобігти ризикам фальсифікації ЕЦП без визначення секретного ключа.

Для генерації відкритого та закритого ключа необхідно вибрати два простих цілих числа P і G, за умови, що G< P. Отправитель и адресат электронного документа, подписанного ЭЦП, применяют одинаковые большие несекретные числа P (~10 308 = ~2 1024) и G (~10 154 = ~1 512). Первый из них берёт случайное целое число X, 1 < X £ (P - 1), и вычисляет: Y = G X mod P.

Параметр Y – відкритий ключ, який використовується для автентифікації електронного цифрового підпису відправника. Параметр Х – секретний ключ, який використовується для підпису електронних документів. Для підпису повідомлення М необхідно, щоб відправник захешував його за допомогою хеш-функції h ціле число m: m = h(M), 1< m < (P - 1), и сгенерировал случайное целое число К, 1 < K < (P - 1), при этом К и (P - 1) должны быть взаимно простыми. На следующем этапе он рассчитывает значение параметра a по формуле: a = G K mod P. На основе расширенного алгоритма Евклида с помощью секретного ключа Х определяет целое число b: m = X * a + K * b (mod (P - 1)). Пара чисел (a, b) формируют электронную цифровую подпись S: S = (a, b).

Значення параметрів M, a та b передаються адресату, а значення чисел X та K не розголошуються. Потім одержувач повідомлення обчислює значення m за такою формулою: m = h(M). Далі розраховується значення числа A = Y a b mod (P). Якщо A = G m mod (P), повідомлення М вважається справжнім.

Можна навести суворий математичний доказ, що остання рівність буде вірною тоді, коли підпис S під повідомленням M розрахований за допомогою саме секретного ключа X, з якого був отриманий відкритий ключ Y.

При цьому варто мати на увазі, що для створення кожного електронного цифрового підпису потрібне нове значення числа, яке визначається випадковим чином.

Алгоритм EGSA – класичний зразок того, як відбувається доставка повідомлення у відкритій формі разом із автентифікатором (a, b). Відмінність алгоритму Ель-Гамалю від алгоритму RSA:

1. При такій мірі стійкості алгоритм EGSA працює на цілих числах, які коротші за аналогічні числа в алгоритмі RSA на 25%. Це скорочує час обчислень у середньому у 2 рази.
2. Обчислити модуль Р легко, потрібно лише переконатися, що число просте і число (Р - 1) має великий простий множник.
3. Алгоритм EGSA не дозволяє ставити цифровий підпис на нових повідомленнях без знання секретного ключа.
4. Підпис, створений за алгоритмом EGSA, в 1,5 рази більший за підпис, згенерований за схемою RSA.

Алгоритм цифрового підпису DSA.

Алгоритм DSA (Digital Signature Algorithm) є вдосконаленою версією алгоритмів цифрового підпису EGSA та К. Шнорра. Відправник та адресат електронного листа обчислюють великі цілі числа G та P - прості числа, L біт кожне (512 £ L £ 1024), q - просте число довжиною 160 біт (ділитель числа (P - 1)). Числа P, G, q відкриті та можуть бути спільними для користувачів. Відправник вибирає випадкове ціле число X - секретний ключ електронного цифрового підпису, 1< X < q. Далее он рассчитывает значение параметра Y (открытого ключа) по формуле: Y = G X mod P. Для подписи сообщения М отправитель хэширует его в целое хэш-значение m: m = h(M), 1 < m < q, затем выбирает случайное целое число К, при условии, что 1 < K < q, и вычисляет значение параметра r по формуле: r = (G K mod P) mod q. Далее он находит число s по формуле: s = ((m + r * X)/ K) mod q.

Пара чисел S = (r, s) формують електронний цифровий підпис. Адресат перевіряє виконання умов: 0< r < q, 0 < s < q. Если хотя бы одно из них не выполнено, то подлинность ЭЦП не подтверждается. Если же выполнены все условия, то адресат рассчитывает значение w по формуле: w = (l/s) mod q, хэш-значения m = h(M) и числа u 1 = (m * w) mod q, u 2 = (r * w) mod q. Далее он с помощью открытого ключа Y вычисляет v по формуле: v = ((G u 1 * Y u 2) mod P) mod q. Подпись S считается подлинной при условии, что выполняется равенство v = r.

Можна навести математичний доказ, що остання рівність буде вірною тоді, коли підпис S під повідомленням M розрахований за допомогою саме секретного ключа X, з якого був отриманий відкритий ключ Y.

Переваги алгоритму DSA порівняно з алгоритмом EGSA:

1. Довжина електронного цифрового підпису, створеного за алгоритмом DSA, значно коротша, ніж у підпису, згенерованого за алгоритмом EGSA. У цьому рівень стійкості однаковий.
2. Час обчислення підпису DSA менший, ніж у алгоритмі EGSA.

До мінусів алгоритму DSA можна віднести необхідність проведення складних операцій поділу по q модулю для перевірки справжності електронного цифрового підпису. Насправді роботу алгоритму DSA можна прискорити рахунок проведення попередніх обчислень. Варто зазначити, що значення r не залежить від повідомлення М та його хеш-значення m.

Які види електронного цифрового підпису наділені юридичною силою

Федеральний закон «Про електронний підпис» №63-ФЗ виділяє два види електронних підписів: прості та посилені. Посилені підписи бувають кваліфіковані та некваліфіковані.

Проста ЕЦП.

Для створення такого підпису використовуються паролі, коди та інші засоби. Простий електронний цифровий підпис – інструмент підтвердження справжності електронних даних відправником. Вона вважається дійсною за дотримання таких умов:

• електронний документ підписано ЕЦП;
• ключ електронного підпису створено відповідно до вимог інформаційної системи, за допомогою якої проводилося завірення та надсилання електронних повідомлень відправником.

У нормативних та правових документах, а також договорах учасники обов'язково визначають основні правила застосування простого електронного цифрового підпису:

• механізм ідентифікації автора підпису у електронному документі;
• обов'язкове дотримання вимог конфіденційності під час використання електронного підпису відповідальними особами;
• виконання вимог Федерального закону №63-ФЗ щодо використання простого електронного цифрового підпису;
• неможливість застосування ЕЦП до таємних державних документів.

Посилена некваліфікована ЕП.

Для створення такого підпису використовується криптографічна програма, яка працює на основі ключа електронного цифрового підпису. Посилений некваліфікований підпис дозволяє визначити укладача документа, який поставив підпис, та наявність змін у листі після його підписання. Застосування некваліфікованої ЕП дозволяє не використовувати сертифікат ключа електронного цифрового підпису (за умови дотримання вимог законодавства, інших нормативних документів та договорів між відправником та адресатом).

Посилена кваліфікована ЕЦП.

Особливість цього різновиду електронного цифрового підпису є у наявності спеціального ключа перевірки, що міститься у кваліфікованому сертифікаті. Формування та перевірка посиленої кваліфікованої ЕЦП відбувається за допомогою спеціальних засобівелектронного підпису, які відповідають вимогам Федерального закону №63-ФЗ.

Паперові документи з рукописним підписом та електронні документи, на яких стоїть посилений кваліфікований підпис, мають однакову юридичну силу (крім випадків, які визнають виключно рукописний підпис, передбачених у законодавстві). Також законом допускається встановлення у нормативних актах та договорах між відправником та одержувачем додаткових вимог до електронних документів, підписаних посиленим кваліфікованим підписом.

Порівняємо розглянуті види електронного цифрового підпису за аналогією зі знайомими фізичними засобами ідентифікації особи:

Проста ЕП схожа на бейдж - будь-яка стороння людина може нею скористатися, тому відповідальність за збереження даних лежить на власнику підпису.

Некваліфікована ЕП аналогічна пропуску в компанії, причому між сторонами угоди є певний рівень довіри.

Кваліфікована ЕП як паспорт – найважливіший інструмент для ідентифікації, надає можливість користуватись усіма послугами.

Відповідно до ст. 7 Федерального закону «Про електронний підпис» ЕЦП, створені за зарубіжними стандартами, в Російській Федерації належать до того виду електронних підписів, ознаками якого вони відповідають. Видача сертифіката ключа в іноземній державі не може бути причиною невизнання юридичної сили документа, на якому стоїть такий підпис.

Як і де отримати електронний цифровий підпис

Крок 1. Вибір ЕП.

Для початку потрібно зрозуміти, навіщо вам електронний цифровий підпис. Наприклад, вам потрібний ключ для роботи на сайті держпослуг. Або ви плануєте здавати звітність у позабюджетні фонди, податкові органи, федеральну службуз фінансового моніторингу чи інші державні та муніципальні органи. Також ЕЦП знадобиться для участі в електронних аукціонах або на електронних торгових майданчиках.

Крок 2. Вибір центру, що посвідчує.

Список центрів, що засвідчують, де можна отримати електронний цифровий підпис, знаходиться на сайті www.minsvyaz.ru (офіційний інтернет-ресурс Міністерства зв'язку та масових комунікацій). На головній сторінці сайту в розділі «Важливо» є активне посилання «Акредитація центрів, що засвідчують», після кліка по якій відкривається вікно, що пропонує завантажити файл з актуальним переліком акредитованих центрів, що посвідчують. За даними на 6.02.2018 р., до списку входило 469 організацій.

Кроки 3 та 4. Заповнення заявки та оплата послуги.

Після вибору зручного за розташуванням посвідчувального центру потрібно заповнити та надіслати заявку на випуск електронного цифрового підпису. Якщо немає можливості заповнити заявку на сайті, можна написати її вручну та передати співробітникам у центрі, що засвідчує. У заявці потрібно вказати П. І. О. одержувача ЕЦП, електронну поштову адресу та контактний телефон. Далі – сплатити послугу.

Крок 5. Надання документів у центр, що посвідчує.

Одночасно з поданням заяви на створення сертифіката ключа електронного цифрового підпису потрібно передати певний пакет документів.

Перелік документів для отримання електронного цифрового підпису юридичними особами

• свідоцтво про державну реєстрацію юридичної особи (ОДРН);
• свідоцтво про постановку на облік у податковому органі (ІПН);
• виписка з ЄДРЮЛ (оригінал або нотаріально завірена копія). Вимоги до терміну давності виписки в різних центрів, що засвідчують, відрізняються, але зазвичай це не більше 6 місяців з моменту її отримання;
• страхове свідоцтво державного пенсійного страхування (СНІЛЗ) майбутнього власника електронного цифрового підпису.

Якщо власником ЕЦП буде керівник юридичної особи, то потрібно також додати документ, що підтверджує його призначення на посаду, завірений підписом та печаткою компанії.

Якщо повноваження щодо володіння ЕЦП планується передати не керівнику, а співробітнику компанії (уповноваженому представнику), необхідно додати до пакету документів доручення про передачу відповідних функцій цьому працівникові, засвідчену підписом і печаткою компанії. Якщо цей співробітник подаватиме все необхідні документита особисто отримувати ЕЦП, то також потрібно надати копії сторінок його паспорта.

Перелік документів для індивідуальних підприємців (ІП)

• заяву на видачу електронного цифрового підпису;
• свідоцтво про державну реєстрацію ІП;
• свідоцтво про постановку на облік у податковому органі (ІПН);
• виписка з ЄДРІП (оригінал або нотаріально завірена копія). Вимоги до терміну давності виписки в різних центрів, що засвідчують, можуть не збігатися, але зазвичай це не більше 6 місяців з моменту її отримання;
• копії сторінок паспорта майбутнього власника електронного цифрового підпису: з фото та з даними про прописку;
• страхове свідоцтво державного пенсійного страхування (СНДЛЗ).

Якщо планується, що електронний цифровий підпис для ІП отримуватиме уповноважений представник майбутнього власника ЕП, то в центр, що засвідчує, потрібно також подати нотаріально завірену довіреність на зазначеного представника.

У ситуації, коли майбутній власник електронного цифрового підпису хоче делегувати всі обов'язки щодо її отримання своєму уповноваженому представнику, то разом із основним пакетом документів потрібно надати і паспорт цього громадянина.

Крок 6. Отримання ЕП.

Для отримання електронного цифрового підпису потрібно надати у вибраний центр посвідчення оригінали всіх документів. Після звіряння інформації вони повертаються власнику ЕП.

Ціна послуги зі створення електронного цифрового підпису може змінюватись в залежності від наступних факторів:

• вид та сфера застосування ЕП;
• особливості ціноутворення в центрі, що засвідчує;
• місцезнаходження центру, що посвідчує.

Кінцева вартість послуги складається з кількох складових:

• оформлення та випуск сертифіката ключа електронного цифрового підпису;
• надання прав працювати зі спеціалізованим програмним забезпеченням;
• надання програм для роботи з електронним цифровим підписом;
• передача ключа захисту носія електронного цифрового підпису;
• технічна підтримкапід час роботи з електронним цифровим підписом.

Наприклад, підсумкова вартість ЕЦП до роботи на електронних торгах становить 5-7 тис. рублів.

Термін видачі електронного цифрового підпису може коливатися в діапазоні від години до одного тижня. Все залежить від швидкості подання документів та оплати послуг. У більшості центрів, що засвідчують, ЕЦП виготовляють за 2-3 робочі дні. Майте на увазі, що виписки з ЄДРЮЛ або ЄДРІП у податкових органах видають протягом 5 робочих днів. Тому варто отримати їх завчасно.

Термін дії електронного цифрового підпису 1 рік. Тому щороку її потрібно перевипускати. Це можна зробити в будь-якому центрі, що засвідчує (не обов'язково в тому, де ви її отримували).

Як реалізується надійний захист електронного цифрового підпису

Одна з нагальних проблем практичного застосуваннясучасної криптографії – забезпечення захисту інформації електронного цифрового підпису насамперед ключа ЕП. Високий рівеньстійкості криптографічних алгоритмів, у тому числі розроблених у нашій країні, змушує зловмисників красти файл електронного цифрового підпису з ключами, оскільки це єдиний можливий спосіб злому. Простий підбір ключа займає дуже багато часу і потребує значних обчислювальних ресурсів.

Відповідно до ГОСТ Р 34.10-2001 секретний ключ електронного цифрового підпису є 256 біт інформації. Зловмисники викрадають ці дані з файлів користувачів, добувають із оперативної пам'яті чи системного реєстру. на тіньовому ринкусформувалася справжня хакерська індустрія з виробництва програмного забезпечення для крадіжки секретних ключів ЕЦП: різні трояни, руткіти, віруси, експлойти. Для того, щоб вкрасти ключ, не обов'язково бути професіоналом, достатньо просто отримати доступ до FLASH-носія, на якому він зберігається.

Автори засобів електронного цифрового підпису намагаються забезпечити необхідний захист секретних ключів. Існують різні методики шифрування ключа ЕЦП, що зберігається у файлі. Користувач вигадує пароль, який на основі спеціального алгоритму перетворюється на справжній криптографічний ключ шифрування. З його допомогою відбувається шифрування ключового контейнера. Мінус у тому, що захист такого роду може бути досить швидко зламаний методом простого перебору паролів. Бонус для зловмисників – необмежену кількість спроб та єдиний критерій правильності (збіг секретного та відкритого ключів).

Викрасти секретний ключ електронного цифрового підпису із системного реєстру так само легко, як із ключового контейнера у файлі, тому що сам реєстр теж знаходиться у файлі.

Є ще одна складність забезпечення безпеки зберігання ключа ЕЦП. В операційній системі Windowsвідбувається певна "прив'язка" ключового контейнера. Наприклад, при першому підключенні FLASH-носій з ЕЦП визначається як «Знімний диск G», а при подальшій роботі як «Знімний диск K». В результаті криптопровайдер не знайде ключові контейнери по новому шляху.

Крім того, якщо секретний ключ ЕЦП знаходиться в системному реєстрі, можуть виникнути труднощі з його перенесенням на інший комп'ютер.

Таким чином, забезпечення безпечного зберігання ключа ЕЦП пов'язане з багатьма труднощами. Але які наслідки можуть виникнути в результаті крадіжки ключового контейнера? Розглянемо потенційні варіанти такої гіпотетичної ситуації:

1. Зловмисники можуть вкрасти гроші з рахунку через систему дистанційного банківського обслуговування (ДПВ). Довести незаконні дії хакерів практично неможливо, адже на всіх банківських операціях стоїть ваш електронний цифровий підпис.
2. Захисна система ДБО запобігла несанкціонованим перекладам грошових коштівзаблокувавши доступ до банківського рахунку. Гроші цілі, але, можливо, важливі угоди зірвалися через невчасну оплату.
3. Ваші конкуренти вкрали ключ ЕЦП та поставили підпис на підробленій комерційній пропозиції або конкурсній заявці. В результаті ви витратите час та сили на прояснення ситуації, а ваша компанія буде відсторонена від електронних торгів за несумлінність.
4. Зловмисники підписали за допомогою викраденого ключа ЕЦП помилковий звіт, а вашу організацію оштрафували.

Таким чином, крадіжка ключа електронного цифрового підпису загрожує втратою фінансових та тимчасових ресурсів, погіршенням ділової репутації, зривом важливих угод, блокуванням банківських рахунків та іншими потенційними та цілком реальними збитками. Навіть якщо ви доведете факт крадіжки електронних даних, висока ймовірність того, що банк відмовиться повертати викрадені гроші.

Хакери можуть і не ризикувати і замість викрадення ключового контейнера його просто видалити. Це призведе до втрачених вигод для власника ЕЦП (недоотримані доходи, зрив угод) та непередбачених витрат (втрачений час, оплата послуг з переоформлення ЕЦП).

Дотримання правил інформаційної безпекипри використанні та зберіганні електронного цифрового підпису – запорука безперебійної роботи всіх учасників електронного документообігу (банків, торгових майданчиків, власників ЕЦП, операторів зі складання звітності та ін.).

Варто мати на увазі, що власник електронного підпису не повинен давати свій секретний ключ іншим співробітникам компанії. Адже тільки він відповідає за всі документи, підписані колегами. Якщо є подібна необхідність, слід зробити електронний цифровий підпис окремо кожному співробітнику, який має право підписувати документи.

Ми вже говорили про небезпеку зберігання ключового контейнера у файлі. Для усунення недоліків такої системи шифрування вигадали відчужувані носії з власною зашифрованою файловою системою, в якій розташовується ключовий контейнер. У такій системі є власний мікропроцесор, що керує, що обмежує кількість спроб злому.

Наприклад, у вітчизняній практиці користуються популярністю смарт-картки та USB-токени. Для активації секретного ключа ЕЦП користувач вводить PIN-код. Після кількох некоректних спроб введення доступу блокується, що обмежує можливості для злому зловмисниками.

У Росії популярні USB-токени завдяки ряду характеристик: надійність, легкість використання та невисока вартість. Так, після виходу на ринок проекту "Рутокен-2001" було продано кілька мільйонів USB-токенів цієї компанії. У деяких сферах (наприклад, при здачі податкової звітності та в електронних торгах) Рутокени вважаються стандартом безпечного зберігання ключових контейнерів.

Удосконалена варіація технології USB-токенів працює на криптографічних алгоритмах одразу «на борту» носія. Секретний ключ не завантажується в оперативну пам'ятькомп'ютера, що унеможливлює його крадіжки шкідливими програмами безпосередньо з комп'ютерної пам'яті. Така технологія активно використовується в різних фінансових організаціях, зокрема, у системах ДБО організацій, де потенційні збитки від крадіжки секретного ключа електронного цифрового підпису особливо високі.

Як здійснюється перевірка автентичності електронного цифрового підпису

Перевірка електронного цифрового підпису проводиться за допомогою відкритих онлайн-сервісів та спеціалізованих програм. Результати перевірки дозволяють з'ясувати, хто підписав електронний документ, провести автентифікацію підпису, виявити несанкціоновані зміни у повідомленні.

Багато сучасних інформаційних систем перевіряють справжність електронного цифрового підпису автоматично. Так, на сайті Росреєстру (rosreestr.ru) можна легко визначити справжність ЕЦП на документі, отриманому у відповідь на запит користувача. Для цього потрібно завантажити отриманий файл із розширенням *.sig у спеціальний сервіс сайту та клацнути по кнопці.

Такі інструменти перевірки можна знайти і в інших інформаційних системах, наприклад, на електронних торгових майданчиках. Центри, що засвідчують, також надають користувачам сервіси для перевірки справжності ЕЦП. Крім того, зацікавлені вони можуть провести цю процедуру самостійно за допомогою спеціалізованих програм.

У ході перевірки електронного документа порівнюється електронний цифровий підпис, що стоїть на ньому, ключ ЕЦП, отриманий від відправника, і сертифікат КЕП. Якщо адресат електронного листа не зареєстрований в жодному з діючих засвідчувальних центрів, він може перевірити справжність ЕЦП самостійно:

1. У відкритих онлайн-сервісах, таких як КонтурКріпто та ін.
2. Встановити на власному або робочому комп'ютері програму КриптоПро CSP і завантажити в неї базу сертифікатів з публічних довідників центрів, що засвідчують.
3. На сайті www.gosuslugi.ru/pgu/eds можна перевірити електронний цифровий підпис, виданий лише УЦ, що пройшли державну акредитацію.
4. Самий складний спосіб- Якщо у вас є професійні знаннята навички, то обчисліть хеш-функції на основі алгоритму шифрування.

Розглянемо докладніше перші три способи, оскільки вони доступні для користувачів без комп'ютерної освіти.

Перевірка на КриптоПро CSP.

На офіційному сайті розробника можна завантажити демо-версію програми та безкоштовно користуватися нею протягом двох тижнів, а потім купити повну версію. КриптоПро CSP дозволяє не тільки перевіряти ЕЦП в електронних документах, а й підписувати власні файли, створені у MS Word. Після встановлення програми у меню, що випадає, можна вибрати необхідну дію.

Надалі КриптоПро CSP самостійно проводитиме перевірку підписів у всіх відкритих документах, завірених ЕЦП. У разі успішного результату користувач побачить спливаюче вікно

Якщо під час перевірки програма попередить, що сертифікат отриманого електронного документа неможливо простежити до кореневого каталогу, то користувачеві слід перемістити його до сховища

Перевірка електронного цифрового підпису на Порталі держпослуг.

На сайті gosuslugi.ru можна легко перевірити як власну, так і отриману від відправника в електронному документі кваліфіковану ЕП та її сертифікат. Онлайн-сервіс сайту працює як із файлами з розширенням *.sig, так і з текстовими документами, в тіло яких вбудована ЕЦП.

Якщо сертифікат та ЕП пройшли перевірку, з'являється повідомлення «Дійсний». Якщо ні, то сервіс розкриває причину: Сертифікат відкликаний або Не вдалося перевірити.

За допомогою цього сервісу можна легко перевірити і КЕП. Перевірка в обох випадках відбувається щодо лише кваліфікованих підписів, оскільки їх сертифікати ключів знаходяться у відкритих реєстрах центрів, що засвідчують. Імовірність того, що на документі буде недійсний електронний цифровий підпис, вкрай низька, оскільки центри, що засвідчують, стежать за термінами дії їх сертифікатів.

Причини некоректної роботи електронного цифрового підпису та як їх усунути

У більшості користувачів на електронних торгових майданчиках виникають труднощі через некоректну роботу електронного цифрового підпису. Подібні проблеми можуть виникнути в невідповідний момент, наприклад, у ході торгів, що призведе до небажаних результатів:

• заявку на участь у конкурсі не буде вчасно подано;
• учасник програє електронний аукціон;
• Договір на надання послуг державним органам не буде підписано.

Типові труднощі при роботі з електронним цифровим підписом:

1. На електронному торговому майданчику не видно сертифікату учасника закупівлі.
2. Нема технічної можливості поставити підпис на електронному документі.
3. При спробі входу на електронний майданчик користувач отримує повідомлення про помилку.

Насправді зустрічаються й інші проблеми, але ми розглянемо способи вирішення найпопулярніших із них.

Сертифікат ключа підпису не видно на майданчику під час спроби входу до системи.

Це може бути пов'язано з одночасною дією кількох факторів:

• сертифікат ключа ЕЦП налаштований неправильно;
• інтернет-браузер працює некоректно;
• немає кореневого сертифікату УЦ.

Як вирішити проблему?

Для початку перевірте, що інсталяція відкритої частини сертифіката на комп'ютері через програму КриптоПро пройшла правильно. Також переконайтеся, що операційна система підтримує версію програмного забезпечення, інстальованого на комп'ютері. Далі в налаштуваннях браузера додайте електронні адреси торгових майданчиків до категорії надійних, увімкнувши всі елементи ActiveX. І наприкінці проведіть встановлення кореневого сертифіката УЦ, який видав ЕЦП, довірені кореневі центри сертифікації.

Електронний підпис видає помилку під час підписання документів.

Така проблема може виникати з таких причин:

• у вашої версії КриптоПро закінчилася ліцензія;
• ви вставили носій із іншим сертифікатом.

Як це виправити?

Отримайте нову ліцензію в УЦ, відкрийте програму КриптоПро на вашому комп'ютері та введіть ці ліцензії.

Якщо справа в носії ЕЦП, перевірте всі закриті контейнери в USB-роз'ємах та правильність завантаження необхідного сертифіката.

Система видає помилку під час входу на електронний майданчик.

Коріння цієї проблеми може лежати в раніше розглянутих причинах. Зазвичай проблеми виникають через некоректну установку бібліотеки Capicom. Для вирішення проблеми перевірте, чи встановлена ​​ця бібліотека на вашому комп'ютері і чи скопійовано два системні файли з розширенням.dll в одну з папок Windowsпри використанні 64-розрядної системи.

Попереднє вивчення інструкції з встановлення та налаштування електронного цифрового підпису допоможе уникнути описаних проблемних ситуацій. Якщо у вас все одно виникають складнощі під час роботи з ЕЦП, ви можете звернутися до професіоналів нашої компанії.

У Росії в електронному документообігу можна використовувати три види підпису: просту, посилену некваліфіковану та посилену кваліфіковану. Подивимося, чим вони відрізняються один від одного, за яких умов рівнозначні власноручною та надають підписаним файлам юридичної сили.

Простий електронний підпис, або ПЕП

Простий підпис - це знайомі всім коди доступу зі СМС, коди на скретч-картах, пари "логін-пароль" особистих кабінетахна сайтах та в електронній пошті. Простий підпис створюється засобами інформаційної системи, в якій його використовують, і підтверджує, що електронний підпис створила конкретна людина.

Де використовується?

Простий електронний підпис найчастіше застосовується при банківських операціях, а також для аутентифікації в інформаційних системах, для отримання держпослуг, для засвідчення документів усередині корпоративного електронного документообігу (далі – ЕДО).

Простий електронний підпис не можна використовувати під час підписання електронних документів або в інформаційній системі, що містять держтаємницю.

Юридична сила

Простий підпис прирівнюється до власноручного, якщо це регламентує окремий нормативно-правовий акт або між учасниками ЕДО укладено угоду, де прописано:

• правила, за якими підписувача визначають за його простим електронним підписом.
• обов'язок користувача дотримуватися конфіденційності закритої частини ключа ПЕП (наприклад, пароля в парі “логін-пароль” або СМС-коду, надісланого на телефон).

У багатьох інформаційних системах користувач повинен спочатку підтвердити свою особу під час візиту до оператора систему, щоб ПЕП у майбутньому мала юридичну силу. Наприклад, для отримання підтвердженої облікового записуна порталі Держпослуг потрібно особисто прийти в один із центрів реєстрації з документом, що засвідчує особу.

Некваліфікований електронний підпис, або НЕП

Посилений некваліфікований електронний підпис (далі – НЕП) створюється за допомогою програм криптошифрування з використанням закритого ключа електронного підпису. НЕП ідентифікує особу власника, а також дозволяє перевірити, чи вносили у файл зміни після його відправки.

Людина отримує в центрі, що засвідчує, два ключі електронного підпису: закритий і відкритий. Закритий ключ зберігається на спеціальному ключовому носії з пін-кодом або в комп'ютері користувача - він відомий лише власнику і його потрібно тримати в таємниці. За допомогою закритого ключа власник генерує електронні підписи, якими підписує документи.

Відкритий ключ електронного підпису доступний для всіх, з ким його власник веде ЕДО. Він пов'язаний із закритим ключем і дозволяє всім одержувачам підписаного документа перевірити справжність ЕП.

Те, що відкритий ключ належить власнику закритого ключа, прописується у сертифікаті електронного підпису. Сертифікат також видається центром, що засвідчує. Але під час використання НЕП сертифікат можна створювати. Вимоги до структури некваліфікованого сертифіката не встановлені у федеральному законі № 63-ФЗ "Про електронний підпис".

Де використовується?

НЕП можна використовувати для внутрішнього та зовнішнього ЕДО, якщо сторони попередньо домовилися про це.

Юридична сила

Учасникам ЕДО потрібно дотримуватись додаткових умов, щоб електронні документи, завірені НЕП, вважалися рівнозначними паперовим із власноручним підписом. Сторонам потрібно обов'язково укласти між собою угоду про правила використання НЕП та взаємне визнання її юридичної сили.

У статті подано відповіді на запитання: «Як виглядає електронний підпис», «Як працює ЕЦП», розглянуто її можливості та основні компоненти, а також представлено наочний покрокова інструкціяпроцес підписання файлу електронним підписом.

Що таке електронний підпис?

Електронний підпис - це не предмет, який можна взяти до рук, а реквізит документа, що дозволяє підтвердити належність ЕЦП її власнику, а також зафіксувати стан інформації/даних (наявність або відсутність змін) в електронному документі з моменту його підписання.

Довідково:

Скорочена назва (згідно з федеральним законом № 63) - ЕП, але частіше використовують застарілу абревіатуру ЕЦП (електронний цифровий підпис). Це, наприклад, полегшує взаємодію з пошуковими системами в інтернеті, оскільки ЕП може також означати електричну плиту, електровоз пасажирський і т.д.

Відповідно до законодавства РФ, кваліфікований електронний підпис - це еквівалент підпису, що проставляється «від руки», що володіє повною юридичною силою. Крім кваліфікованої у Росії представлені ще два види ЕЦП:

— некваліфікована — забезпечує юридичну значущість документа, але тільки після укладання додаткових угод між підписантами щодо правил застосування та визнання ЕЦП, дозволяє підтвердити авторство документа та проконтролювати його незмінність після підписання,

— проста — не надає підписаному документу юридичної значущості до укладення додаткових угод між підписантами про правила застосування та визнання ЕЦП і без дотримання законодавчо закріплених умов щодо її використання (простий електронний підпис повинен міститися в самому документі, його ключ застосовуватися відповідно до вимог інформаційної системи, де вона використовується, та інше згідно з ФЗ-63, ст.9), не гарантує його незмінність з моменту підписання, дозволяє підтвердити авторство. Її застосування не допускається у випадках, пов'язаних із державною таємницею.

Можливості електронного підпису

Фізичним особам ЕЦП забезпечує віддалену взаємодію з державними, навчальними, медичними та іншими інформаційними системами через Інтернет.

Юридичним особам електронний підпис дає допуск до участі в електронних торгах, дозволяє організувати юридично-значущий електронний документообіг (ЕДО) та подання електронної звітності до контролюючих органів влади.

Можливості, які надає ЕЦП користувачам, зробили її важливою складовою повсякденному життіі пересічних громадян, і представників компаній.

Що означає фраза «клієнту видано електронний підпис»? Який вигляд має ЕЦП?

Сам по собі підпис є не предметом, а результатом криптографічних перетворень документа, що підписується, і його не можна «фізично» видати на якомусь носії (токені, smart-карті і т.д.). Також її не можна побачити у прямому значенні цього слова; вона не схожа на розчерк пера або фігурний відбиток. Про те, як «виглядає» електронний підпис,Розкажемо трохи нижче.

Довідково:

Криптографічне перетворення - це зашифрування, яка побудована на алгоритмі, що використовує секретний ключ. Процес відновлення вихідних даних після криптографічного перетворення без даного ключа, на думку фахівців, повинен зайняти більше часу, ніж термін актуальності інформації, що видобувається.

Flash-носій – це компактний носій даних, до складу якого входить flash-пам'ять та адаптер (usb-флешка).

Токен - це пристрій, корпус якого аналогічний корпусу USB-флешки, але картка пам'яті захищена паролем. На токені записано інформацію для створення ЕЦП. Для роботи з ним необхідне підключення до USB-роз'єму комп'ютера та введення пароля.

Smart-карта - це пластикова картка, Що дозволяє проводити криптографічні операції за рахунок вбудованої в неї мікросхеми

Sim-карта з чіпом - це карта мобільного оператора, з спеціальним чіпом, на яку на етапі виробництва безпечним чином встановлюється java-додаток, що розширює її функціональність.

Як слід розуміти фразу «виданий електронний підпис», яка міцно закріпилася в розмовної мовиучасників ринку? З чого складається електронний підпис?

Виданий електронний підпис складається з 3 елементів:

1 - засіб електронного підпису, тобто необхідний реалізації набору криптографічних алгоритмів і функцій технічний засіб. Це може бути встановлюваний на комп'ютер криптопровайдер (КріптоПро CSP, ViPNet CSP), або самостійний токен з вбудованим криптопровайдером (Рутокен ЕЦП, JaCarta ГОСТ), або «електронна хмара». Докладніше прочитати технології ЕЦП, пов'язані з використанням «електронної хмари», можна буде в наступній статті Єдиного порталу Електронного підпису.

Довідково:

Криптопровайдер - це незалежний модуль, який виступає «посередником» між операційною системою, яка за допомогою певного набору функцій управляє ним, і програмою або апаратним комплексом, що виконує криптографічні перетворення.

Важливо: токен та засіб кваліфікованої ЕЦП на ньому мають бути сертифіковані ФСБ РФ відповідно до вимог федерального закону №63.

2 - ключова пара, яка представляє собою два знеособлені набори байт, сформованих засобом електронного підпису. Перший - ключ електронного підпису, який називають «закритим». Він використовується для формування самого підпису і має зберігатися у секреті. Розміщення «закритого» ключа на комп'ютері і flash-носія вкрай небезпечно, на токені — частково небезпечно, на токені/smart-карті/sim-карті в невилученому вигляді найбільш безпечно. Другий – ключ перевірки електронного підпису, який називають «відкритим». Він не міститься в таємниці, однозначно прив'язаний до «закритого» ключа і необхідний, щоб будь-хто міг перевірити коректність електронного підпису.

3 - сертифікат ключа перевірки ЕЦП, який випускає центр посвідчення (УЦ). Його призначення — зв'язати знеособлений набір байт «відкритого» ключа з особистістю власника електронного підпису (людиною чи організацією). Насправді це виглядає так: наприклад, Іван Іванович Іванов ( фізична особа) приходить до посвідчувального центру, пред'являє паспорт, а УЦ видає йому сертифікат, що підтверджує, що заявлений «відкритий» ключ належить саме Івану Івановичу Іванову. Це необхідно для запобігання шахрайській схемі, під час розгортання якої зловмисник у процесі передачі «відкритого» коду може перехопити його та підмінити своїм. Таким чином, злочинець отримає можливість видавати себе за підписувача. Надалі, перехоплюючи повідомлення та вносячи зміни, він зможе підтверджувати їх своєю ЕЦП. Саме тому роль сертифіката ключа перевірки електронного підпису є вкрай важливою, і за його коректність несе фінансову та адміністративну відповідальність центр, що засвідчує.

Відповідно до законодавства РФ розрізняють:

— «сертифікат ключа перевірки електронного підпису» формується для некваліфікованої ЕЦП і може бути виданий центром, що засвідчує;

— «кваліфікований сертифікат ключа перевірки електронного підпису» формується для кваліфікованого ЕЦП та може бути виданий лише акредитованим Міністерством зв'язку та масових комунікацій УЦ.

Умовно можна позначити, що ключі перевірки електронного підпису (набори байт) — технічні поняття, а сертифікат «відкритого» ключа і центр, що засвідчує, — поняття організаційні. Адже УЦ є структурною одиницею, яка відповідає за зіставлення «відкритих» ключів та їх власників у рамках їх фінансово-господарської діяльності.

Підсумовуючи вищевикладене, фраза «клієнту видано електронний підпис» складається з трьох доданків:

1. Клієнт придбав засіб електронного підпису.
2. Він отримав «відкритий» та «закритий» ключ, за допомогою яких формується та перевіряється ЕЦП.
3. УЦ видав клієнту сертифікат, що підтверджує, що «відкритий» ключ із ключової пари належить саме цій людині.

Питання безпеки

Необхідні властивості документів, що підписуються:

• цілісність;
• достовірність;
• автентичність (справжність; «невідмовність» від авторства інформації).

Їх забезпечують криптографічні алгоритми та протоколи, а також засновані на них програмні та програмно-апаратні рішення для формування електронного підпису.

З певною часткою спрощення можна говорити, що безпека електронного підпису та сервісів, що надаються на її основі, базується на тому, що «закриті» ключі електронного підпису зберігаються в секреті, у захищеному вигляді, і що кожен користувач відповідально зберігає їх і не допускає інцидентів.

Примітка: при придбанні токена важливо поміняти заводський пароль, таким чином ніхто не зможе отримати доступ до механізму ЕЦП крім її власника.

Як підписати файл електронним підписом?

Щоб підписати файл ЕЦП, потрібно виконати кілька кроків. Як приклад розглянемо, як поставити кваліфікований електронний підпис на свідоцтво на товарний знак Єдиного порталу електронного підпису у форматі.pdf. Потрібно:

1. Клікнути на документ правою кнопкою мишки та вибрати криптопровайдер (в даному випадку КриптоАРМ) та графу «Підписати».

2. Пройти шлях у діалогових вікнах криптопровайдера:

На цьому кроці можна вибрати інший файл для підписання, або пропустити цей етап і відразу перейти до наступного діалогового вікна.

Поля «Кодування та розширення» не потребують редагування. Нижче можна вибрати, де буде збережено підписаний файл. У прикладі документ з ЕЦП буде розміщений на робочому столі (Desktop).

У блоці «Властивості підпису» вибираєте «Підписано», за потреби можна додати коментар. Інші поля можна виключити/вибрати за бажанням.

Зі сховища сертифікатів вибираєте потрібний.

Після перевірки правильності поля "Власник сертифіката" натискайте кнопку "Далі".

У цьому діалоговому вікні проводиться фінальна перевірка даних, необхідних для створення електронного підпису, а потім після натискання на кнопку «Готово» має з'явитися таке повідомлення:

Успішне закінчення операції означає, що файл був криптографічно перетворений і містить реквізит, що фіксує незмінність документа після його підписання та забезпечує його юридичну значимість.

Отже, як виглядає електронний підпис на документі?

Наприклад беремо файл, підписаний електронним підписом (зберігається у формате.sig), і відкриваємо його через криптопровайдер.

Фрагмент робочого столу. Ліворуч: файл, підписаний ЕП, праворуч: криптопровайдер (наприклад, КриптоАРМ).

Візуалізація електронного підпису в самому документі при його відкритті не передбачена через те, що він є реквізитом. Але є винятки, наприклад, електронний підпис ФНП при отриманні виписки з ЄДРЮЛ/ЄГРІП через онлайн сервісумовно відображається на самому документі. Скріншот можна знайти по

Але як же в результаті «виглядає» ЕЦПвірніше, як факт підписання позначається у документі?

Відкривши через криптопровайдер вікно «Керування підписаними даними», можна побачити інформацію про файл та підпис.

При натисканні на кнопку «Подивитися» з'являється вікно, що містить інформацію про підпис та сертифікат.

Останній скріншот наочно показує як виглядає ЕЦП на документі"зсередини".

Придбати електронний підпис можна за .

Задавайте інші питання на тему статті в коментарях, експерти Єдиного порталу Електронного підпису обов'язково дадуть Вам відповідь.

Стаття підготовлена ​​редакцією Єдиного порталу електронного підпису сайт з використанням матеріалів компанії SafeTech.

При повному або частковому використанні матеріалу гіперпосилання на www.

Тема «Електронний цифровий підпис»

1. Поняття електронного цифрового підпису та його технічне забезпечення

2. Організаційне та правове забезпечення електронного цифрового підпису.

1.Поняття електронного цифрового підпису та його технічне

забезпечення

У світі електронних документів підписання файлу за допомогою графічних символів втрачає сенс, тому що підробити та скопіювати графічний символ можна нескінченну кількість разів. Електронний Цифровий Підпис (ЕЦП)є повним електронним аналогом звичайного підпису на папері, але реалізується за допомогою графічних зображень, а з допомогою математичних перетворень над вмістом документа.

Особливості математичного алгоритму створення та перевірки ЕЦП гарантують неможливість підробки такого підпису сторонніми особами,

ЕЦП – реквізит електронного документа, призначений для захисту даного документа від підробки, отриманий внаслідок криптографічного перетворення інформації з використанням закритого ключа ЕЦП, що дозволяє ідентифікувати власника ключа, а

також встановити відсутність спотворення інформації у електронному документі.

ЕЦП є певною послідовністю символів,

яка формується внаслідок перетворення вихідного документа (або будь-якої іншої інформації) за допомогою спеціального програмного забезпечення. ЕЦП додається до вихідного документа під час пересилання. ЕЦП є унікальним для кожного документа і не може бути перенесена на інший документ. Неможливість підробки ЕЦП забезпечується значною кількістю математичних обчислень, необхідних для

її добору. Таким чином, при отриманні документа, підписаного ЕЦП,

Застосування ЕЦП забезпечує: простий вирішення спірних ситуацій (реєстрація всіх дій учасника системи у часі),

неможливість зміни заявки учасника до дати закінчення закупівлі.

Крім того, ЕЦП сприяє: зниження витрат за пересилання документів, швидкого доступу до торгів, які у будь-якій точці Росії.

Користуватися електронним підписом досить просто. Жодних спеціальних знань, навичок та умінь для цього не потрібно. Кожному користувачеві ЕЦП, який бере участь в обміні електронними документами,

генеруються унікальні відкритий та закритий (секретний)

криптографічні ключі.

Закритий ключ – це закритий унікальний набір інформації об'ємом 256 біт, зберігається в недоступному для інших осіб місці на дискеті,

смарт-картки, ru-token. Працює закритий ключ лише у парі з відкритим

Відкритий ключ - використовується для перевірки ЕЦП одержуваних документів/файлів. Технічно це набір інформації обсягом 1024 біти.

Відкритий ключ передається разом із Вашим листом, підписаним ЕЦП.

Дублікат відкритого ключа надсилається в Центр, що засвідчує, де створена бібліотека відкритих ключів ЕЦП. У бібліотеці засвідчувального центру забезпечується реєстрація та надійне зберігання відкритих ключів, щоб уникнути спроб підробки або внесення спотворень.

Ви встановлюєте під електронним документом свій електронний цифровий підпис. При цьому на основі секретного закритого ключа ЕЦП та вмісту документа шляхом криптографічного перетворення виробляється деяке велике число, яке і є електронно-

цифровий підпис цього користувача під даним конкретним документом. Це число додається до кінця електронного документа або зберігається в окремому файлі.

У підпис, зокрема, записується така інформація: ім'я

файлу відкритого ключа підпису, інформація про особу, яка сформувала підпис, дата формування підпису.

Користувач, який отримав підписаний документ і має відкритий ключ ЕЦП відправника на підставі тексту документа та відкритого ключа відправника, виконує зворотне криптографічне перетворення, що забезпечує перевірку електронного цифрового підпису відправника. Якщо ЕЦП під документом вірна, це означає, що документ дійсно підписаний відправником і в текст документа не внесено жодних змін. В іншому випадку видаватиметься повідомлення, що сертифікат відправника не є дійсним.

Терміни та визначення: Електронний документ- Документ, в

якому інформація представлена ​​в електронно-цифровій формі.

Власник сертифіката ключа підпису - фізична особа, на ім'я якої засвідчуючим центром видано сертифікат ключа підпису та яка володіє відповідним закритим ключем електронного цифрового підпису, що дозволяє за допомогою засобів електронного цифрового підпису створювати свій електронний цифровий підпис в електронних документах

(Підписувати електронні документи).

Засоби електронного цифрового підпису - апаратні та (або)

програмні засоби, що забезпечують реалізацію хоча б однієї з наступних функцій - створення електронного цифрового підпису в електронному документі з використанням закритого ключа електронного цифрового підпису, підтвердження з використанням відкритого ключа електронного цифрового підпису автентичності електронного цифрового підпису в електронному документі, створення закритих та відкритих ключів електронних цифрових підписів.

Сертифікат засобів електронного цифрового підпису - документ на паперовому носії, виданий відповідно до правил системи сертифікації для підтвердження відповідності коштів електронного цифрового підпису встановленим вимогам.

Сертифікат ключа підпису- документ на паперовому носії або електронний документ з електронним цифровим підписом уповноваженої особи засвідчувального центру, які включають відкритий ключ електронного цифрового підпису та які видаються засвідчувальним центром учаснику інформаційної системи для підтвердження справжності електронного цифрового підпису та ідентифікації власника сертифіката ключа підпису.

Користувач сертифіката ключа підпису - фізична особа,

використовує відомості про сертифікат ключа підпису, отримані в засвідчувальному центрі, для перевірки належності електронного цифрового підпису власнику сертифіката ключа підпису.

Інформаційна система загального користування - інформаційна система, яка відкрита для використання всіма фізичними та юридичними особами та у послугах якої цим особам не може бути відмовлено.

Корпоративна інформаційна система - інформаційна система, учасниками якої може бути обмежене коло осіб,

визначений її власником чи угодою учасників цієї

інформаційної системи

Посвідчувальний центр- юридична особа, яка виконує функції з: виготовлення сертифікатів ключів підписів, створення ключів електронних цифрових підписів щодо звернення учасників інформаційної системи з гарантією збереження в таємниці закритого ключа електронного цифрового підпису, зупинення та відновлення дії сертифікатів ключів підписів, а також анулювання їх,

ведення реєстру сертифікатів ключів підписів, забезпечення його актуальності та можливості вільного доступу до нього учасників інформаційних систем, перевірки унікальності відкритих ключів електронних цифрових підписів у реєстрі сертифікатів ключів підписів та архіві засвідчувального центру, видачі сертифікатів ключів підписів у формі документів на паперових у формі електронних

документів з інформацією про їх дію, здійснення за зверненнями користувачів сертифікатів ключів підписів підтвердження справжності електронного цифрового підпису в електронному документі щодо виданих ним сертифікатів ключів підписів, надання учасникам інформаційних систем інших пов'язаних з використанням електронних цифрових підписів послуг.

При цьому посвідчувальний центр повинен мати необхідні матеріальні та фінансові можливості, що дозволяють йому нести громадянську відповідальність перед користувачами сертифікатів ключів підписів за збитки, які можуть бути понесені ними внаслідок недостовірності відомостей, що містяться в сертифікатах ключів підписів.

2. Організаційне та правове забезпечення електронної

цифровий підпис.

Правове забезпечення електронного цифрового підпису слід розуміти не лише як сукупність нормативно-правових актів,

що забезпечують правовий режим ЕЦП та засобів ЕЦП. Це набагато ширше поняття. Воно лише починається з державного законупро електронний цифровий підпис, але розвивається далі і згодом охоплює всі теоретичні та практичні питання, пов'язані з електронною комерцією взагалі.

Перший у світі закон про електронний цифровий підпис був ухвалений у березні 1995 р. Законодавчими зборами штату Юта (США) та затверджений Губернатором штату.

Закон отримав назву Utah Digital Signature Act. Найближчими послідовниками штату Юта стали штати Каліфорнія, Флорида, Вашингтон,

де невдовзі також було прийнято відповідні законодавчі акти.

Як основні цілі першого закону про електронний підпис було проголошено:

Мінімізація збитків від подій незаконного використання та підробки електронного цифрового підпису;

забезпечення правової бази для діяльності систем та органів сертифікації та верифікації документів, що мають електронну природу;

правова підтримка електронної комерції (комерційних операцій, які здійснюються з використанням засобів обчислювальної техніки);

надання правового характеру деяким технічним стандартам,

раніше запровадженим Міжнародним союзом зв'язку (ITU – International Telecommunication Union) та Національним інститутом стандартизації США (ANSI – American National Standards Institute), а також рекомендаціям Наглядової ради Інтернету (IAB – Internet Activity Board),

вираженим у документах RFC 1421 – RFC 1424.

Закон складається із п'яти частин:

У першій частині вводяться основні поняття та визначення, пов'язані з використанням ЕЦП та функціонуванням засобів ЕЦП. Тут же розглядаються формальні вимоги до змістової частини електронного сертифіката, що засвідчує належність відкритого ключа юридичній чи фізичній особі.

Друга частина закону присвячена ліцензуванню та правовому регулюванню діяльності центрів сертифікації.

Насамперед тут обумовлено умови, яким повинні задовольняти фізичні та юридичні особи для отримання відповідної ліцензії, порядок її отримання, обмеження ліцензії та умови її відкликання. Важливим моментомцього розділу є умови визнання дійсності сертифікатів, виданих неліцензованими посвідчувачами, якщо учасники електронної угоди висловили їм спільну довіру та відобразили її у своєму договорі. Фактично, тут закріплюється правовий режим мережевої моделі сертифікації, розглянутої нами вище.

У третій частині закону сформульовано обов'язки центрів сертифікації та власників ключів. Зокрема, тут розглянуто:

порядок видачі сертифіката;

порядок пред'явлення сертифіката та відкритого ключа;

умови зберігання закритого ключа;

дії власника сертифіката під час компрометації закритого

порядок відкликання сертифіката;

термін дії сертифіката;

умови звільнення центру сертифікації від відповідальності за неправомірне використання сертифікату та засобів ЕЦП;

порядок створення та використання страхових фондів,

призначених для компенсації збитків третім особам, що виникли внаслідок неправомірного застосування ЕЦП.

Четверта частина закону присвячена безпосередньо цифровому підпису.

Її основне положення полягає в тому, що документ, підписаний цифровим підписом, має ту саму силу, що й звичайний документ,

підписаний рукописним підписом.

У п'ятій частині закону розглянуто питання взаємодії центрів сертифікації з адміністративними органами влади, а також порядок функціонування так званих репозитаріїв - електронних баз даних, у яких зберігаються відомості про видані та відкликані сертифікати.

У Загалом закон про ЕЦП штату Юта відрізняється від інших аналогічних правових актів високою подробицею.

Німецький закон про електронний підпис (Signaturgesetz) був введений у дію у 1997 р. і став першим європейським законодавчим актом такого роду. Метою закону оголошено створення загальних умовдля такого застосування електронного підпису, при якому його підробка або фальсифікація підписаних даних може бути надійно встановлена.

У Законі простежуються такі основні напрями:

встановлення чітких понять та визначень;

детальне регулювання процедури ліцензування органів сертифікації та процедури сертифікації відкритих ключів користувачів засобів ЕЦП ( правовий статус, порядок функціонування центрів

сертифікації, їх взаємодія з державними органамита іншими центрами сертифікації, вимоги до сертифіката відкритого ключа електронного підпису);

Розгляд питань захищеності цифрового підпису та даних,

підписаних з її допомогою від фальсифікації;

Порядок визнання реальності сертифікатів відкритих ключів.

За своїм духом німецький Закон про електронний підпис є регулюючим.

На відміну від аналогічного закону Німеччини, Федеральний Закон про електронний підпис США є координуючим правовим актом. Це пов'язано з тим, що на час його прийняття відповідне законодавство вже склалося в більшості окремих штатів.

Як видно з назви Закону, його основне призначення полягає у забезпеченні правового режиму цифрового електронного підпису в електронній комерції. Підписання Закону Президентом США відбулося у день національного свята – 4 липня 2000 р. (День незалежності), що має надати цьому законодавчому акту особливого значення. На думку оглядачів, прийняття цього закону символізує вступ людства в нову еру - еру електронної комерції.

відповідальних за функціонування її інфраструктури Не зосереджуючись на конкретних правах та обов'язках центрів сертифікації, яким приділяється особливу увагуУ законодавствах інших країн, Федеральний Закон США відносить їх до поняття інфраструктура ЕЦП і в загальних рисах обумовлює взаємодію елементів цієї структури з урядовими органами.

У Росії із основними положеннями Федерального Закону про

електронного підпису можна ознайомитись на прикладі проекту. Згідно із проектом, Закон складається з п'яти розділів і містить понад двадцять статей.

У першому розділі розглянуто загальні положення, що належать до Закону.

Як і аналогічні закони інших держав, російський законопроект спирається на несиметричну криптографію. Основною метою Закону проголошується забезпечення правових умов застосування ЕЦП в електронному документообігу та реалізації послуг з посвідчення ЕЦП учасників договірних відносин.

У другому розділі розглянуто принципи та умови використання електронного підпису. Тут, по-перше, висловлено можливість, а по-друге,

наведено умови рівнозначності рукописного та електронного підпису.

Крім того, особливо наголошено на характерних перевагах ЕЦП:

особа може мати необмежену кількість закритих ключів ЕЦП, тобто створити собі різні електронні підписи та використовувати їх у різних умовах;

всі екземпляри документа, підписані ЕЦП, мають чинність оригіналу.

Проект російського закону передбачає можливість обмеження сфери застосування ЕЦП. Ці обмеження можуть бути накладені федеральними законами, а також запроваджуватися самими учасниками електронних угод та відображатись у договорах між ними.

Цікавим є положення статті про засоби ЕЦП, в якій закріплюється твердження про те, що «засоби ЕЦП не належать до коштів,

що забезпечує конфіденційність інформації». Насправді, це не зовсім так. За своєю природою засоби ЕЦП, засновані на механізмах несиметричної криптографії, звичайно, можуть використовуватись для захисту інформації. Можливо, це положення включено для того, щоб уникнути колізій з іншими нормативними актами, що обмежують застосування засобів криптографії у суспільстві.

Важливою відмінністю від аналогічних законів інших держав є

положення російського законопроекту про те, що власник закритого ключа відповідає перед користувачем відповідного відкритого ключа за збитки, що виникають у разі неналежним чином організованої охорони закритого ключа.

Ще однією відмінністю російського законопроекту є список вимог до формату електронного сертифікату. Поряд із загальноприйнятими полями, розглянутими нами вище, російський законодавець вимагає обов'язкового включення до складу сертифіката найменування коштів ЕЦП, з якими можна використовувати даний відкритий ключ, номер сертифіката на цей засіб та термін його дії

найменування та юридичну адресу центру сертифікації, що видав цей сертифікат, номер ліцензії цього центру та дату її видачі. У

закордонному законодавстві та в міжнародних стандартах ми не знаходимо таких вимог докладного описупрограмного засобу ЕЦП, з

допомогою якого генерувався відкритий ключ. Очевидно, цю вимогу російського законопроекту продиктовано інтересами безпеки країни.

Масове застосування програмного забезпечення, вихідний код якого не опубліковано і тому не може бути досліджений фахівцями, становить суспільну загрозу. Це стосується не тільки програмних засобів ЕЦП, а й взагалі будь-якого програмного забезпечення, починаючи з операційних системта закінчуючи прикладними програмами.

У третьому розділі розглянуто правовий статус центрів сертифікації (у

термінології законопроекту - засвідчувальних центрів відкритих ключів електронного підпису). У Росії надання послуг із сертифікації електронного підпису є видом діяльності, що ліцензується, яким можуть займатися тільки юридичні особи. Посвідчення електронного підпису державних установ можуть здійснювати лише державні центри, що посвідчують.

За своїм характером структура органів сертифікації -