Ключ электронной подписи
Ключ электронной подписи — это уникальная последовательность символов (битовая строка), предназначенная для создания (подписания) электронного документа с использованием алгоритмов криптографического преобразования информации. Является основным элементом инфраструктуры электронной подписи (ЭП) и используется для подтверждения авторства, целостности и неизменности документа после его подписания.
Правовой статус и терминология
В Российской Федерации правовые основы использования электронной подписи регулируются Федеральным законом № 63-ФЗ «Об электронной подписи» (от 6 апреля 2011 года). Закон различает два основных типа ключей:
- Ключ электронной подписи (закрытый ключ) — конфиденциальная информация, известная только владельцу и используемая непосредственно для формирования подписи.
- Ключ проверки электронной подписи (открытый ключ) — общедоступная информация, однозначно связанная с закрытым ключом и предназначенная для проверки подлинности подписи.
В зарубежной практике (например, в стандартах PKI — Public Key Infrastructure) используются термины private key (закрытый ключ) и public key (открытый ключ). В российском законодательстве акцент сделан на функциональном назначении: «ключ подписи» и «ключ проверки».
Криптографические основы
Ключ электронной подписи генерируется в рамках асимметричных криптосистем. В основе лежит математическая задача, для которой прямое вычисление (генерация пары ключей) относительно просто, а обратное (восстановление закрытого ключа по открытому) — вычислительно сложно. Наиболее распространены следующие алгоритмы:
- RSA — основан на сложности факторизации больших целых чисел.
- ГОСТ Р 34.10-2012 (и его предшественник ГОСТ Р 34.10-2001) — российский стандарт, основанный на эллиптических кривых. Используется в государственных информационных системах (ГИС), портале «Госуслуги», Единой системе идентификации и аутентификации (ЕСИА).
- ECDSA (Elliptic Curve Digital Signature Algorithm) — международный аналог, также на эллиптических кривых.
Длина ключа подписи для алгоритма ГОСТ Р 34.10-2012 составляет 256 или 512 бит. Для RSA — от 1024 до 4096 бит (в настоящее время рекомендовано не менее 2048 бит).
Виды ключей и их носители
По типу носителя
- Программные (файловые) ключи — хранятся в виде файла на жёстком диске, USB-флеш-накопителе или в облачном хранилище. Наиболее уязвимы для кражи или заражения вредоносным ПО.
- Аппаратные ключи (токены) — специализированные устройства (например, Рутокен, JaCarta, eToken), в которых ключ генерируется и хранится внутри защищённой микросхемы. Извлечение ключа из токена невозможно без физического разрушения устройства или специального оборудования.
- Смарт-карты — пластиковые карты с встроенным чипом, содержащим ключ. Используются в корпоративных и государственных системах, часто в сочетании с PIN-кодом.
- Квалифицированные сертификаты в мобильных устройствах — ключ может храниться в защищённой области памяти смартфона (например, в модуле Trusted Execution Environment).
По уровню защиты
- Простая электронная подпись — ключ не требует сертификации, используется в неформальных системах (например, логин/пароль).
- Усиленная неквалифицированная подпись (НЭП) — ключ создаётся с использованием криптографических средств, но не требует сертификации в аккредитованном удостоверяющем центре (УЦ).
- Усиленная квалифицированная подпись (КЭП) — ключ генерируется и хранится на сертифицированном ФСБ России носителе (токене или смарт-карте), а его открытый ключ заверяется квалифицированным сертификатом, выданным аккредитованным УЦ. КЭП приравнивается к собственноручной подписи на бумажном документе.
Жизненный цикл ключа
- Генерация — создание пары «ключ подписи — ключ проверки» с помощью криптографического генератора случайных чисел. Выполняется либо на стороне пользователя (в программном обеспечении или на токене), либо на сервере УЦ.
- Сертификация — для квалифицированной подписи открытый ключ передаётся в УЦ, который издаёт сертификат, подтверждающий принадлежность ключа владельцу.
- Хранение — закрытый ключ хранится в защищённом контейнере. Пользователь обязан обеспечить его конфиденциальность (не передавать третьим лицам, не хранить в открытом виде).
- Использование — при подписании документа программа-подписчик применяет закрытый ключ для вычисления цифровой подписи.
- Блокировка и отзыв — при компрометации (утере, краже, подозрении на несанкционированный доступ) владелец обязан немедленно уведомить УЦ. Сертификат открытого ключа заносится в список отзыва (CRL) или публикуется в реестре отозванных сертификатов.
- Уничтожение — после окончания срока действия сертификата или при выводе из эксплуатации ключ должен быть безвозвратно удалён с носителя.
Применение
Ключи электронной подписи используются в следующих сферах:
- Электронный документооборот (ЭДО) — подписание договоров, счетов, актов между юридическими лицами.
- Государственные и муниципальные услуги — подача заявлений, получение справок, регистрация бизнеса через портал «Госуслуги».
- Банковская сфера — подписание платёжных поручений, кредитных договоров, дистанционное банковское обслуживание.
- Электронные торги и госзакупки — подписание заявок на участие, контрактов.
- Судебная практика — подача исковых заявлений, доказательств в электронном виде.
- Корпоративные информационные системы — аутентификация пользователей, подписание внутренних документов.
- Интернет-вещей (IoT) — аутентификация устройств и защита каналов связи.
Безопасность и компрометация
Основные угрозы для ключа электронной подписи:
- Кража или копирование — злоумышленник получает доступ к файлу ключа или токену.
- Вредоносное ПО — программы-шпионы, клавиатурные логгеры, трояны, перехватывающие ввод PIN-кода или копирующие ключ.
- Социальная инженерия — получение ключа или PIN-кода под видом техподдержки или коллеги.
- Утеря носителя — физическая потеря токена или смарт-карты.
Для минимизации рисков применяются:
- хранение ключа на сертифицированных токенах с обязательным вводом PIN-кода;
- использование двухфакторной аутентификации (токен + пароль/биометрия);
- регулярная смена ключей (обычно каждые 1–3 года);
- ведение журналов использования ключа;
- немедленная блокировка при подозрении на компрометацию.
Критика и ограничения
- Сложность для пользователей — процесс получения, установки и использования ключа требует определённой технической грамотности.
- Зависимость от УЦ — при прекращении деятельности или отзыве лицензии УЦ все выданные им сертификаты становятся недействительными.
- Проблемы совместимости — разные УЦ могут использовать разные криптопровайдеры, что иногда вызывает трудности при межведомственном или межкорпоративном обмене.
- Риски централизации — единая система сертификации (например, в рамках ЕСИА) создаёт единую точку отказа.
- Устаревание алгоритмов — развитие квантовых вычислений может сделать современные асимметричные алгоритмы (RSA, ECDSA) уязвимыми; ведутся работы по созданию постквантовых криптосистем.
Интересные факты
- Первый в мире закон об электронной подписи был принят в штате Юта (США) в 1995 году.
- В России до вступления в силу 63-ФЗ действовал Федеральный закон № 1-ФЗ «Об электронной цифровой подписи» (2002–2011), который был признан устаревшим и не соответствующим международным стандартам.
- Ключ подписи может быть использован не только для подписания, но и для шифрования данных (в некоторых криптосистемах).
- В 2022 году в России была введена обязательная двухфакторная аутентификация для получения квалифицированной электронной подписи в аккредитованных удостоверяющих центрах.
Источники
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (ред. от 04.08.2023).
- ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- Методические рекомендации ФСБ России по использованию усиленной квалифицированной электронной подписи (2021).
- «Криптография и безопасность сетей» — У. Столлингс (изд. 6-е, 2014).
- Документация Удостоверяющего центра Минцифры России (digital.gov.ru).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →