Электронная подпись
Электронная подпись (ЭП) — это информация в электронной форме, которая присоединяется к другим электронным данным (подписываемому документу) и позволяет идентифицировать лицо, подписавшее документ, а также установить отсутствие искажения информации после момента подписания. Электронная подпись является аналогом собственноручной подписи в цифровой среде и обладает юридической силой при соблюдении условий, установленных законодательством.
Правовая основа и виды
Правовое регулирование электронной подписи в Российской Федерации осуществляется Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». Закон определяет три основных вида электронной подписи, различающихся степенью защищённости и объёмом юридических последствий.
Простая электронная подпись
Простая электронная подпись (ПЭП) — это совокупность кодов, паролей или иных средств, которые позволяют установить, что документ подписан конкретным лицом. Она не использует криптографические методы шифрования и не защищает документ от изменения после подписания. Примерами ПЭП служат логин и пароль для входа в личный кабинет, одноразовый код из SMS-сообщения, графический ключ на смартфоне. Простая подпись признаётся аналогом собственноручной только в случаях, прямо предусмотренных законом или соглашением сторон.
Усиленная неквалифицированная электронная подпись
Усиленная неквалифицированная электронная подпись (НЭП) создаётся с использованием криптографических алгоритмов (асимметричного шифрования) и позволяет:
- идентифицировать подписавшее лицо;
- обнаружить любые изменения документа после подписания.
Для создания и проверки НЭП используются ключи, полученные в удостоверяющем центре, но сертификат ключа проверки может не соответствовать требованиям, предъявляемым к квалифицированным сертификатам. НЭП приравнивается к собственноручной подписи, если иное не установлено нормативными актами или соглашением сторон. Широко применяется во внутреннем электронном документообороте организаций, а также в некоторых государственных информационных системах.
Усиленная квалифицированная электронная подпись
Усиленная квалифицированная электронная подпись (КЭП) — наиболее защищённый и юридически значимый вид ЭП. Она обладает всеми свойствами НЭП, но дополнительно соответствует следующим требованиям:
- ключ проверки подписи указан в квалифицированном сертификате, выданном аккредитованным удостоверяющим центром;
- для создания и проверки КЭП используются средства, прошедшие сертификацию в Федеральной службе безопасности России.
КЭП признаётся аналогом собственноручной подписи во всех случаях, за исключением ситуаций, когда закон прямо требует наличие документа на бумажном носителе. С помощью КЭП подписываются отчёты в налоговые органы (ФНС), Пенсионный фонд, Росстат, банковские документы, договоры, заявления на государственные услуги, а также счета-фактуры и акты в системе электронного документооборота.
Техническое устройство
Криптографическая основа
Электронная подпись строится на асимметричном шифровании и функциях хеширования. Отправитель создаёт хеш-сумму (дайджест) документа фиксированной длины с помощью криптографической хеш-функции (например, ГОСТ Р 34.11-2012 «Стрибог»). Затем этот хеш шифруется закрытым (секретным) ключом подписывающего лица — так формируется сама подпись. Подписанный документ вместе с подписью передаётся получателю, который с помощью открытого ключа расшифровывает хеш и сравнивает его с хешем полученного документа. Совпадение хешей подтверждает, что документ не был изменён, а его авторство принадлежит владельцу закрытого ключа.
Ключевая пара и сертификат
Каждое лицо, использующее электронную подпись, обладает парой ключей:
- Закрытый ключ — уникальная последовательность символов, хранящаяся на защищённом носителе (токене, смарт-карте, реже — в компьютере), известная только владельцу. С помощью закрытого ключа создаётся подпись. Компрометация закрытого ключа (его утечка или хищение) лишает подпись юридической силы.
- Открытый ключ — доступная всем заинтересованным сторонам информация, необходимая для проверки подписи.
Сертификат ключа проверки электронной подписи — это электронный документ, удостоверяющий принадлежность открытого ключа конкретному лицу и выдаваемый удостоверяющим центром. Для квалифицированной подписи сертификат выпускается в формате X.509 v3 и содержит данные о владельце, сроке действия, издателе и ограничениях на использование.
Инфраструктура удостоверяющих центров
В России действует цепочка доверия, возглавляемая Министерством цифрового развития, связи и массовых коммуникаций РФ. Удостоверяющие центры (УЦ) — организации, аккредитованные Минцифрой, которые:
- выпускают сертификаты открытых ключей;
- ведут реестры сертификатов;
- обеспечивают безопасное хранение закрытых ключей (на этапе их генерации);
- аннулируют сертификаты при утере ключа или компрометации.
Крупнейшие удостоверяющие центры: ФНС России (предоставляет бесплатные сертификаты для юридических лиц и индивидуальных предпринимателей), «Национальный удостоверяющий центр» (АО «НИИ «Восход»), «Контур.УЦ», «СберКорус», «Такском», «Электронный экспресс» и другие.
Применение
Государственные и муниципальные услуги
КЭП используется для взаимодействия граждан и организаций с государственными органами через портал «Госуслуги», личные кабинеты налоговой (ЛК ЮЛ, ЛК ИП), системы «Мой арбитр» (для подачи исков в арбитражные суды) и Единую информационную систему в сфере закупок (ЕИС 44-ФЗ и 223-ФЗ). С 2022 года физические лица могут получить КЭП бесплатно в любом отделении МФЦ или через приложение «Госключ» (выпуск сертификата на смартфон).
Корпоративный документооборот
Электронная подпись является основой внутреннего и внешнего электронного документооборота (ЭДО) предприятий. Системы ЭДО (например, «Диадок», «СБИС», «1С-ЭДО») позволяют подписывать договоры, акты, счета-фактуры, накладные, доверенности и другие документы, заменяя бумажные носители. По данным Минцифры, в 2023 году доля электронных первичных документов в российском бизнесе превысила 60%.
Банковская сфера
КЭП применяется для подписания платёжных поручений в системах «Клиент-Банк», для открытия счетов, заключения кредитных договоров и других банковских операций в дистанционном формате.
Судопроизводство
В арбитражном процессе документы, подписанные КЭП, принимаются в качестве судебных доказательств наравне с бумажными. Гражданский и уголовный процесс постепенно внедряют электронные подписи для подачи ходатайств, жалоб и других процессуальных документов.
Безопасность и риски
Компрометация ключа
Основной риск использования электронной подписи — несанкционированный доступ к закрытому ключу. Причины компрометации: вирусы-шпионы, фишинг, хищение токена, неосторожное хранение. Владелец должен незамедлительно обратиться в удостоверяющий центр для аннулирования сертификата.
Срок действия сертификата
Квалифицированный сертификат ключа проверки КЭП имеет ограниченный срок действия (обычно 1 год для юридических лиц и 5 лет для физических). По истечении срока подпись не может быть проверена, если не сохранилась цепочка доверия на момент подписания.
Атаки на хеш-функции
Теоретически возможно, что злоумышленник найдёт коллизию (два разных документа с одинаковым хешем). Однако современные криптографические хеш-функции, в том числе ГОСТ Р 34.11-2012, устойчивы к таким атакам при текущем уровне вычислительных мощностей.
История развития в России
Первые разработки в области электронной подписи в СССР и России начались в 1980-х годах в закрытых ведомственных системах. В 1994 году вышел ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» — первый национальный стандарт ЭП. В 2002 году принят Федеральный закон № 1-ФЗ «Об электронной цифровой подписи», который ввёл понятие ЭЦП. Однако закон содержал множество недостатков: обязательность лицензирования криптографии, сложность взаимного признания подписей разных удостоверяющих центров.
В 2011 году закон № 63-ФЗ заменил устаревший акт, введя трёхуровневую систему (простая, неквалифицированная, квалифицированная) и уточнив требования к удостоверяющим центрам. С 2012 года началась массовая выдача КЭП юридическим лицам через аккредитованные УЦ. В 2021 году заработал механизм бесплатного выпуска КЭП для граждан через приложение «Госключ», а с 2022 года — через отделения МФЦ.
Современные тенденции
- Электронные доверенности: с 1 марта 2024 года вступили в силу поправки к Гражданскому кодексу Российской Федерации, разрешающие машиночитаемые доверенности (МЧД), дающие возможность сотрудникам организаций подписывать документы от имени компании своей личной КЭП.
- КЭП на мобильных устройствах: приложения («Госключ», «МойОфис», «КриптоПро») позволяют хранить закрытый ключ на смартфоне с использованием защищённой микросхемы (eSE, TEE).
- Биометрическая верификация: интеграция ЭП с единой биометрической системой (ЕБС) для дополнительной идентификации владельца при создании подписи.
- Квантово-устойчивая криптография: активные исследования по созданию алгоритмов ЭП, устойчивых к атакам с использованием квантовых компьютеров (постквантовая криптография).
Критика и проблемы
- Высокая стоимость для малого бизнеса: получение КЭП в коммерческих УЦ стоит от 1500 до 5000 рублей в год, что создаёт дополнительную нагрузку на микропредприятия.
- Сложность аннулирования: процедура аннулирования сертификата через удостоверяющий центр требует времени и может быть неочевидной для обычных пользователей.
- Проблемы с международным признанием: российские КЭП на основе ГОСТ Р 34.10-2012 не признаются за рубежом, что затрудняет трансграничный электронный документооборот.
Источники
- Федеральный закон от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» (в редакции от 14 июля 2022 года).
- Приказ ФСБ России от 27 декабря 2011 года № 796 «Об утверждении Требований к средствам электронной подписи и средствам удостоверяющего центра».
- ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- Методические рекомендации Минцифры России по использованию усиленной квалифицированной электронной подписи (2023).
- Отчет «Электронный документооборот в России 2023» — Ассоциация разработчиков программных продуктов «Отечественный софт».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →