Открыть сервис

Электронная цифровая подпись

Электронная цифровая подпись (ЭЦП) — это реквизит электронного документа, предназначенный для защиты этого документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. ЭЦП является аналогом собственноручной подписи в электронном документообороте и обладает юридической силой при соблюдении условий, установленных законодательством.

История возникновения

Идея использования криптографических методов для аутентификации электронных документов возникла в 1970-х годах. В 1976 году американские учёные Уитфилд Диффи и Мартин Хеллман впервые предложили концепцию асимметричной криптографии, которая легла в основу современных ЭЦП. В 1977 году Рональд Ривест, Ади Шамир и Леонард Адлеман разработали алгоритм RSA, ставший первым практически реализуемым алгоритмом асимметричного шифрования и создания подписи.

В СССР и России развитие ЭЦП началось в 1990-х годах. Первый российский стандарт на ЭЦП — ГОСТ Р 34.10-94 — был принят в 1994 году. В 2002 году был принят Федеральный закон № 1-ФЗ «Об электронной цифровой подписи», который впервые на законодательном уровне закрепил юридическую значимость ЭЦП. В 2011 году этот закон был заменён Федеральным законом № 63-ФЗ «Об электронной подписи», действующим в настоящее время.

Основные понятия и принцип работы

ЭЦП базируется на асимметричной криптографии, где используются два ключа: закрытый (секретный) и открытый. Закрытый ключ хранится у владельца подписи в защищённом носителе (токен, смарт-карта) и используется для создания подписи. Открытый ключ доступен всем участникам документооборота и служит для проверки подлинности подписи.

Процесс создания подписи

  1. Вычисление хеш-функции (криптографического «отпечатка») от подписываемого документа.
  2. Шифрование полученного хеша закрытым ключом владельца.
  3. Присоединение зашифрованного хеша к документу в виде подписи.

Процесс проверки подписи

  1. Вычисление хеш-функции от полученного документа.
  2. Расшифровка подписи открытым ключом отправителя.
  3. Сравнение полученного значения хеша с вычисленным. Если они совпадают, подпись считается подлинной, а документ — неизменённым.

Виды электронных подписей

Согласно Федеральному закону № 63-ФЗ, в России выделяют три вида электронных подписей:

Простая электронная подпись

Представляет собой код, пароль или иную комбинацию символов, подтверждающую, что документ создан определённым лицом. Создаётся без использования криптографических средств. Применяется для внутреннего документооборота организаций, в банковских приложениях (например, SMS-код для подтверждения платежа) и для авторизации на портале «Госуслуги». Юридическая сила такой подписи признаётся только при наличии соглашения между сторонами.

Усиленная неквалифицированная электронная подпись

Создаётся с использованием криптографических алгоритмов и закрытого ключа. Позволяет не только идентифицировать подписанта, но и обнаружить факт внесения изменений в документ после подписания. Для её создания не требуется сертификат от аккредитованного удостоверяющего центра. Применяется для внутреннего документооборота компаний и для взаимодействия с контрагентами при наличии соответствующего соглашения.

Усиленная квалифицированная электронная подпись

Наиболее защищённый вид подписи. Создаётся с использованием средств криптографической защиты информации, сертифицированных ФСБ России. Сертификат ключа проверки подписи выдаётся только аккредитованным удостоверяющим центром. Квалифицированная подпись признаётся аналогом собственноручной подписи во всех случаях, кроме требующих нотариального заверения. Используется для сдачи отчётности в государственные органы (ФНС, ПФР, Росстат), для участия в электронных торгах и для подписания юридически значимых договоров.

Технические стандарты

В России действуют следующие национальные стандарты на ЭЦП:

Эти стандарты являются обязательными для использования в государственных информационных системах и для квалифицированных подписей.

Удостоверяющие центры

Удостоверяющий центр (УЦ) — это организация, которая создаёт сертификаты ключей проверки электронных подписей, а также оказывает услуги по их выдаче, аннулированию и хранению. В России УЦ подлежат аккредитации Министерства цифрового развития, связи и массовых коммуникаций. Аккредитованные УЦ проходят проверку на соответствие требованиям законодательства и техническим стандартам.

Крупнейшие аккредитованные УЦ в России: АО «ПФ «СКБ Контур», ООО «Компания «Тензор», АО «Калуга Астрал», АО «Аналитический центр» (входит в структуру Центрального банка РФ).

Применение

ЭЦП широко используется в следующих сферах:

Юридическая сила

Юридическая сила ЭЦП регулируется Федеральным законом № 63-ФЗ «Об электронной подписи». Согласно закону:

Безопасность и риски

ЭЦП считается надёжным средством аутентификации при соблюдении правил безопасности. Основные риски:

Для защиты рекомендуется использовать аппаратные носители ключей (токены), регулярно обновлять программное обеспечение и своевременно продлевать сертификаты.

Перспективы развития

В России активно развивается технология облачной электронной подписи, при которой закрытый ключ хранится на сервере удостоверяющего центра, а подписание происходит удалённо. Также внедряется использование мобильной электронной подписи на SIM-картах операторов связи. В 2024 году началось тестирование единой биометрической системы для создания электронных подписей без использования токенов.

Источники

  1. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
  2. ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  3. ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
  4. Диффи У., Хеллман М. «Новые направления в криптографии» (1976).
  5. Rivest R., Shamir A., Adleman L. «A Method for Obtaining Digital Signatures and Public-Key Cryptosystems» (1978).
  6. Материалы Министерства цифрового развития, связи и массовых коммуникаций РФ.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →