Открыть сервис

Сертификат ключа проверки

Сертификат ключа проверки (также известный как сертификат электронной подписи, или сертификат открытого ключа) — это электронный или бумажный документ, выдаваемый удостоверяющим центром (УЦ) и подтверждающий принадлежность открытого ключа определённому владельцу (физическому или юридическому лицу). Сертификат является основным элементом инфраструктуры открытых ключей (PKI), обеспечивающим проверку подлинности электронной подписи и шифрование данных. Он содержит информацию о владельце, издателе, сроке действия, а также сам открытый ключ, заверенные цифровой подписью удостоверяющего центра.

История и нормативная база

Концепция сертификатов ключей возникла в 1970-х годах с развитием асимметричной криптографии. В 1976 году Уитфилд Диффи и Мартин Хеллман предложили идею инфраструктуры открытых ключей, а в 1988 году Международный союз электросвязи (ITU) принял стандарт X.509, ставший основой для большинства современных сертификатов.

В России правовое регулирование сертификатов ключей проверки электронной подписи осуществляется Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». Закон определяет три вида электронной подписи: простую, усиленную неквалифицированную и усиленную квалифицированную. Для последней требуется квалифицированный сертификат ключа проверки, который выдаётся только аккредитованным Министерством цифрового развития, связи и массовых коммуникаций РФ удостоверяющим центром. Квалифицированные сертификаты имеют юридическую силу, равнозначную собственноручной подписи на бумажном носителе.

Структура и содержание сертификата

Сертификат ключа проверки, как правило, содержит следующие поля (в соответствии со стандартом X.509 версии 3):

  • Серийный номеруникальный идентификатор сертификата в рамках удостоверяющего центра.
  • Алгоритм подписи — алгоритм, используемый для подписания сертификата (например, RSA, ECDSA, ГОСТ Р 34.10-2012).
  • Издатель — наименование удостоверяющего центра, выпустившего сертификат.
  • Срок действия — даты начала и окончания действия сертификата.
  • Владелец — информация о субъекте сертификата (для физического лица — ФИО, СНИЛС; для юридического — наименование, ИНН, ОГРН).
  • Открытый ключ — сам ключ проверки электронной подписи, обычно в формате SubjectPublicKeyInfo.
  • Расширения (опционально) — дополнительные атрибуты, такие как:
  • Key Usage (использование ключа) — для подписи, шифрования, проверки подписи.
  • Extended Key Usage (расширенное использование) — для конкретных приложений (например, аутентификация клиента, защита электронной почты).
  • Subject Alternative Name (альтернативное имя субъекта) — для указания дополнительных адресов (DNS, email).
  • CRL Distribution Points (точки распространения списков отзыва) — URL, по которым можно получить информацию о статусе сертификата.
  • Подпись издателяцифровая подпись удостоверяющего центра, заверяющая целостность и подлинность сертификата.

Классификация сертификатов

По уровню доверия и юридической значимости

  1. Квалифицированные сертификаты — выдаются только аккредитованными УЦ, соответствуют требованиям ФЗ-63 и ГОСТ Р 34.10-2012. Имеют наивысшую юридическую силу, используются для государственных и корпоративных систем (например, ЕГАИС, ФНС, Госуслуги).
  2. Неквалифицированные сертификаты — выдаются любыми УЦ (в том числе неаккредитованными), не обязательно соответствуют российским стандартам. Юридическая сила ограничена соглашением сторон.
  3. Самоподписанные сертификаты — создаются владельцем самостоятельно, не заверены УЦ. Используются для тестирования, внутренних сетей или личных целей (например, для HTTPS на локальном сервере).

По типу владельца

  • Сертификаты физических лиц — содержат ФИО, СНИЛС, иногда ИНН.
  • Сертификаты юридических лиц — содержат наименование организации, ИНН, ОГРН, должность уполномоченного лица.
  • Сертификаты устройств — для серверов, смарт-карт, IoT-устройств.

По назначению

  • Сертификаты электронной подписи — для подписания документов, кода, электронных сообщений.
  • Сертификаты шифрования — для защиты данных (например, S/MIME для email).
  • Сертификаты аутентификации — для подтверждения личности (например, TLS/SSL для веб-сайтов).

Процесс получения и использования

Выпуск сертификата

  1. Заявка — владелец обращается в удостоверяющий центр, предоставляет документы, удостоверяющие личность и полномочия (для юридических лиц — доверенность, выписка из ЕГРЮЛ).
  2. Верификация — УЦ проверяет подлинность документов и личность заявителя.
  3. Генерация ключей — создаётся пара ключей: закрытый (секретный) и открытый. Закрытый ключ остаётся у владельца, открытый передаётся в УЦ.
  4. Формирование сертификата — УЦ создаёт сертификат, подписывает его своим закрытым ключом и выдаёт владельцу.
  5. Распространение — сертификат может быть опубликован в общедоступном репозитории (например, в LDAP-каталоге) или передан контрагентам.

Проверка сертификата

Для проверки подлинности сертификата получатель выполняет следующие шаги:

  • Проверяет цифровую подпись сертификата с помощью открытого ключа удостоверяющего центра.
  • Убеждается, что срок действия сертификата не истёк.
  • Проверяет, не отозван ли сертификат (через список отзыва CRL или протокол OCSP).
  • Сравнивает данные владельца с ожидаемыми (например, доменное имя сайта).

Отзыв и прекращение действия

Сертификат может быть отозван до истечения срока действия по следующим причинам:

  • Компрометация закрытого ключа (утеря, кража, утечка).
  • Смена владельца или реквизитов организации.
  • Прекращение деятельности владельца.
  • Ошибка при выпуске сертификата.

Удостоверяющий центр ведёт список отозванных сертификатов (CRL), который публикуется в открытом доступе. Также используется протокол Online Certificate Status Protocol (OCSP), позволяющий оперативно проверить статус конкретного сертификата в реальном времени.

Применение в России

В Российской Федерации сертификаты ключей проверки широко используются в следующих сферах:

  • Государственные услуги — подписание заявлений, деклараций, отчётов через портал «Госуслуги» и систему «Единая система межведомственного электронного взаимодействия» (СМЭВ).
  • Электронный документооборот — юридически значимый обмен документами между организациями (например, с использованием операторов ЭДО).
  • Банковская сфера — подписание платёжных поручений, договоров, кредитных заявок.
  • Судопроизводство — подача исков, жалоб и доказательств в электронном виде (например, через систему «Мой арбитр»).
  • Медицина — подписание электронных рецептов, справок, больничных листов.
  • Торговля и маркировка — регистрация в системах маркировки товаров (например, «Честный знак»).

Критика и ограничения

Основные проблемы, связанные с сертификатами ключей проверки:

  • Централизация доверия — пользователи вынуждены доверять удостоверяющим центрам, которые могут быть скомпрометированы или действовать недобросовестно.
  • Сложность управления — для организаций требуется инфраструктура для выпуска, обновления и отзыва сертификатов, а также обучение сотрудников.
  • Уязвимости реализации — ошибки в программном обеспечении (например, Heartbleed в OpenSSL) могут привести к утечке закрытых ключей.
  • Стоимость — квалифицированные сертификаты, особенно для юридических лиц, требуют финансовых затрат на выпуск и обслуживание.
  • Срок действия — сертификаты имеют ограниченный срок (обычно 1–3 года), что требует регулярного обновления.

См. также

  • Электронная подпись
  • Инфраструктура открытых ключей
  • Удостоверяющий центр
  • ГОСТ Р 34.10-2012
  • X.509

Источники

  1. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
  2. Рекомендации ITU-T X.509 (2019) «Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks».
  3. ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  4. RFC 5280 (2008) «Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile».
  5. Приказ Минцифры России от 30.06.2021 № 625 «Об утверждении порядка ведения реестра квалифицированных сертификатов ключей проверки электронных подписей».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →