Открыть сервис

Ключ электронной подписи

Ключ электронной подписи — это уникальная последовательность символов (битовая строка), предназначенная для создания (подписания) электронного документа с использованием алгоритмов криптографического преобразования информации. Является основным элементом инфраструктуры электронной подписи (ЭП) и используется для подтверждения авторства, целостности и неизменности документа после его подписания.

Правовой статус и терминология

В Российской Федерации правовые основы использования электронной подписи регулируются Федеральным законом № 63-ФЗ «Об электронной подписи» (от 6 апреля 2011 года). Закон различает два основных типа ключей:

  • Ключ электронной подписи (закрытый ключ) — конфиденциальная информация, известная только владельцу и используемая непосредственно для формирования подписи.
  • Ключ проверки электронной подписи (открытый ключ) — общедоступная информация, однозначно связанная с закрытым ключом и предназначенная для проверки подлинности подписи.

В зарубежной практике (например, в стандартах PKI — Public Key Infrastructure) используются термины private key (закрытый ключ) и public key (открытый ключ). В российском законодательстве акцент сделан на функциональном назначении: «ключ подписи» и «ключ проверки».

Криптографические основы

Ключ электронной подписи генерируется в рамках асимметричных криптосистем. В основе лежит математическая задача, для которой прямое вычисление (генерация пары ключей) относительно просто, а обратное (восстановление закрытого ключа по открытому) — вычислительно сложно. Наиболее распространены следующие алгоритмы:

  • RSA — основан на сложности факторизации больших целых чисел.
  • ГОСТ Р 34.10-2012 (и его предшественник ГОСТ Р 34.10-2001) — российский стандарт, основанный на эллиптических кривых. Используется в государственных информационных системах (ГИС), портале «Госуслуги», Единой системе идентификации и аутентификации (ЕСИА).
  • ECDSA (Elliptic Curve Digital Signature Algorithm) — международный аналог, также на эллиптических кривых.

Длина ключа подписи для алгоритма ГОСТ Р 34.10-2012 составляет 256 или 512 бит. Для RSA — от 1024 до 4096 бит (в настоящее время рекомендовано не менее 2048 бит).

Виды ключей и их носители

По типу носителя

  1. Программные (файловые) ключи — хранятся в виде файла на жёстком диске, USB-флеш-накопителе или в облачном хранилище. Наиболее уязвимы для кражи или заражения вредоносным ПО.
  2. Аппаратные ключи (токены) — специализированные устройства (например, Рутокен, JaCarta, eToken), в которых ключ генерируется и хранится внутри защищённой микросхемы. Извлечение ключа из токена невозможно без физического разрушения устройства или специального оборудования.
  3. Смарт-карты — пластиковые карты с встроенным чипом, содержащим ключ. Используются в корпоративных и государственных системах, часто в сочетании с PIN-кодом.
  4. Квалифицированные сертификаты в мобильных устройствах — ключ может храниться в защищённой области памяти смартфона (например, в модуле Trusted Execution Environment).

По уровню защиты

  • Простая электронная подпись — ключ не требует сертификации, используется в неформальных системах (например, логин/пароль).
  • Усиленная неквалифицированная подпись (НЭП) — ключ создаётся с использованием криптографических средств, но не требует сертификации в аккредитованном удостоверяющем центре (УЦ).
  • Усиленная квалифицированная подпись (КЭП) — ключ генерируется и хранится на сертифицированном ФСБ России носителе (токене или смарт-карте), а его открытый ключ заверяется квалифицированным сертификатом, выданным аккредитованным УЦ. КЭП приравнивается к собственноручной подписи на бумажном документе.

Жизненный цикл ключа

  1. Генерация — создание пары «ключ подписи — ключ проверки» с помощью криптографического генератора случайных чисел. Выполняется либо на стороне пользователя (в программном обеспечении или на токене), либо на сервере УЦ.
  2. Сертификация — для квалифицированной подписи открытый ключ передаётся в УЦ, который издаёт сертификат, подтверждающий принадлежность ключа владельцу.
  3. Хранение — закрытый ключ хранится в защищённом контейнере. Пользователь обязан обеспечить его конфиденциальность (не передавать третьим лицам, не хранить в открытом виде).
  4. Использование — при подписании документа программа-подписчик применяет закрытый ключ для вычисления цифровой подписи.
  5. Блокировка и отзыв — при компрометации (утере, краже, подозрении на несанкционированный доступ) владелец обязан немедленно уведомить УЦ. Сертификат открытого ключа заносится в список отзыва (CRL) или публикуется в реестре отозванных сертификатов.
  6. Уничтожение — после окончания срока действия сертификата или при выводе из эксплуатации ключ должен быть безвозвратно удалён с носителя.

Применение

Ключи электронной подписи используются в следующих сферах:

  • Электронный документооборот (ЭДО) — подписание договоров, счетов, актов между юридическими лицами.
  • Государственные и муниципальные услуги — подача заявлений, получение справок, регистрация бизнеса через портал «Госуслуги».
  • Банковская сфера — подписание платёжных поручений, кредитных договоров, дистанционное банковское обслуживание.
  • Электронные торги и госзакупки — подписание заявок на участие, контрактов.
  • Судебная практика — подача исковых заявлений, доказательств в электронном виде.
  • Корпоративные информационные системыаутентификация пользователей, подписание внутренних документов.
  • Интернет-вещей (IoT) — аутентификация устройств и защита каналов связи.

Безопасность и компрометация

Основные угрозы для ключа электронной подписи:

  • Кража или копирование — злоумышленник получает доступ к файлу ключа или токену.
  • Вредоносное ПО — программы-шпионы, клавиатурные логгеры, трояны, перехватывающие ввод PIN-кода или копирующие ключ.
  • Социальная инженерия — получение ключа или PIN-кода под видом техподдержки или коллеги.
  • Утеря носителя — физическая потеря токена или смарт-карты.

Для минимизации рисков применяются:

  • хранение ключа на сертифицированных токенах с обязательным вводом PIN-кода;
  • использование двухфакторной аутентификации (токен + пароль/биометрия);
  • регулярная смена ключей (обычно каждые 1–3 года);
  • ведение журналов использования ключа;
  • немедленная блокировка при подозрении на компрометацию.

Критика и ограничения

  • Сложность для пользователей — процесс получения, установки и использования ключа требует определённой технической грамотности.
  • Зависимость от УЦ — при прекращении деятельности или отзыве лицензии УЦ все выданные им сертификаты становятся недействительными.
  • Проблемы совместимости — разные УЦ могут использовать разные криптопровайдеры, что иногда вызывает трудности при межведомственном или межкорпоративном обмене.
  • Риски централизации — единая система сертификации (например, в рамках ЕСИА) создаёт единую точку отказа.
  • Устаревание алгоритмов — развитие квантовых вычислений может сделать современные асимметричные алгоритмы (RSA, ECDSA) уязвимыми; ведутся работы по созданию постквантовых криптосистем.

Интересные факты

  • Первый в мире закон об электронной подписи был принят в штате Юта (США) в 1995 году.
  • В России до вступления в силу 63-ФЗ действовал Федеральный закон № 1-ФЗ «Об электронной цифровой подписи» (2002–2011), который был признан устаревшим и не соответствующим международным стандартам.
  • Ключ подписи может быть использован не только для подписания, но и для шифрования данных (в некоторых криптосистемах).
  • В 2022 году в России была введена обязательная двухфакторная аутентификация для получения квалифицированной электронной подписи в аккредитованных удостоверяющих центрах.

Источники

  • Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (ред. от 04.08.2023).
  • ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  • Методические рекомендации ФСБ России по использованию усиленной квалифицированной электронной подписи (2021).
  • «Криптография и безопасность сетей» — У. Столлингс (изд. 6-е, 2014).
  • Документация Удостоверяющего центра Минцифры России (digital.gov.ru).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →