Усиленная электронная подпись
Усиленная электронная подпись — это вид электронной подписи (ЭП), которая, в отличие от простой электронной подписи, создаётся с использованием криптографических средств и позволяет однозначно идентифицировать подписанта, а также обнаруживать факт внесения изменений в электронный документ после его подписания. Правовой статус усиленной электронной подписи в Российской Федерации регулируется Федеральным законом № 63-ФЗ «Об электронной подписи». Различают два типа усиленной подписи: неквалифицированную (УНЭП) и квалифицированную (УКЭП).
Правовая основа
В Российской Федерации использование электронных подписей регламентируется Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». Данный закон определяет три вида электронных подписей: простую электронную подпись, усиленную неквалифицированную электронную подпись и усиленную квалифицированную электронную подпись. Усиленная электронная подпись (как неквалифицированная, так и квалифицированная) является юридическим аналогом собственноручной подписи на бумажном носителе.
Виды усиленной электронной подписи
Усиленная неквалифицированная электронная подпись (УНЭП)
УНЭП создаётся с использованием программных или аппаратно-программных средств криптографической защиты информации. Она позволяет установить, что документ подписан конкретным лицом, и выявить любые изменения, внесённые в документ после его подписания. Однако, в отличие от квалифицированной подписи, сертификат ключа проверки УНЭП не обязательно должен быть выдан аккредитованным удостоверяющим центром. УНЭП приравнивается к собственноручной подписи только в том случае, если это прямо предусмотрено соглашением между участниками электронного документооборота или нормативными правовыми актами.
Усиленная квалифицированная электронная подпись (УКЭП)
УКЭП является наиболее защищённым и юридически значимым видом электронной подписи. Она соответствует всем требованиям УНЭП, но дополнительно обладает следующими характеристиками:
- Ключ проверки указан в квалифицированном сертификате, который выдаётся только аккредитованным Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации удостоверяющим центром.
- Для создания и проверки подписи используются средства криптографической защиты информации, прошедшие сертификацию в Федеральной службе безопасности Российской Федерации.
- УКЭП признаётся аналогом собственноручной подписи без каких-либо дополнительных соглашений. Документ, подписанный УКЭП, во всех случаях приравнивается к бумажному документу, подписанному собственноручно.
Устройство и принцип работы
Усиленная электронная подпись основана на асимметричном шифровании. В процессе её создания используются два математически связанных ключа:
- Закрытый ключ (ключ подписи) — хранится владельцем в секрете, как правило, на защищённом носителе (токен, смарт-карта) или в специальном защищённом хранилище. С его помощью формируется сама подпись.
- Открытый ключ (ключ проверки) — доступен всем участникам электронного документооборота. Он содержится в сертификате ключа проверки. С его помощью любой получатель может проверить подлинность подписи и целостность документа.
Процесс подписания выглядит следующим образом: на основе электронного документа и закрытого ключа с помощью криптографической хеш-функции вычисляется уникальная последовательность символов — электронная подпись. Эта подпись добавляется к документу. При проверке подписи получатель с помощью открытого ключа расшифровывает подпись и сравнивает полученный хеш документа с исходным. Если хеши совпадают, это означает, что документ не был изменён после подписания, а подпись принадлежит владельцу сертификата.
Средства создания и проверки
Для работы с усиленной электронной подписью необходимо специализированное программное обеспечение — средства электронной подписи (СЭП). Они реализуют криптографические алгоритмы (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012) и обеспечивают создание и проверку подписи. К таким средствам относятся:
- Криптопровайдеры (например, КриптоПро CSP, ViPNet CSP, ЛИССИ-CSP).
- Программные комплексы для электронного документооборота.
- Модули для офисных приложений (например, плагины для Microsoft Office).
Ключи подписи (закрытые) обычно хранятся на защищённых носителях:
- Токены (USB-ключи) — устройства, внешне напоминающие флеш-накопители, с защищённой памятью (например, Рутокен, JaCarta).
- Смарт-карты.
- Сертифицированные флеш-накопители (менее защищённый вариант).
Применение
Усиленная электронная подпись широко применяется в различных сферах:
Государственные и муниципальные услуги
- Подача отчётности в налоговые органы, Пенсионный фонд России, Фонд социального страхования.
- Участие в государственных и муниципальных закупках (порталы zakupki.gov.ru, ЕИС).
- Получение государственных услуг через портал «Госуслуги» (для юридических лиц и индивидуальных предпринимателей).
- Взаимодействие с судами (подача исковых заявлений, жалоб через системы «Мой арбитр», ГАС «Правосудие»).
Корпоративный документооборот
- Внутренний и внешний электронный документооборот (договоры, счета, акты, накладные).
- Кадровый электронный документооборот (трудовые договоры, приказы, заявления).
- Банковские операции (системы «Банк-Клиент»).
Коммерческая деятельность
- Электронная торговля (подписание контрактов на электронных площадках).
- Регистрация юридических лиц и индивидуальных предпринимателей (через сайт ФНС).
- Удостоверение сделок с недвижимостью (подача документов в Росреестр).
Требования к сертификатам
Сертификат ключа проверки электронной подписи — это электронный документ, который подтверждает принадлежность открытого ключа владельцу. Для УКЭП он называется квалифицированным сертификатом и должен содержать:
- Уникальный номер сертификата.
- Фамилию, имя, отчество владельца (для физического лица) или наименование и ИНН (для юридического лица).
- Открытый ключ проверки подписи.
- Наименование и адрес удостоверяющего центра, выдавшего сертификат.
- Срок действия сертификата.
- Сведения об аккредитации удостоверяющего центра.
Квалифицированный сертификат выдаётся на срок не более 15 лет, но обычно на 1–5 лет. По истечении срока действия сертификата подпись, созданная с его помощью, теряет юридическую силу.
Безопасность и риски
Несмотря на высокую надёжность, использование усиленной электронной подписи связано с определёнными рисками:
- Компрометация закрытого ключа — утеря или кража токена, перехват ключа злоумышленниками. В этом случае подпись может быть использована для подписания документов от имени владельца.
- Заражение компьютера вредоносным ПО — вирусы-трояны могут перехватывать данные для подписания или модифицировать документы до их подписания.
- Неверное использование — подписание документов без ознакомления с их содержанием.
Для минимизации рисков рекомендуется:
- Хранить закрытый ключ на защищённом носителе (токене) с PIN-кодом.
- Использовать лицензионное антивирусное программное обеспечение.
- Не передавать токен и PIN-код третьим лицам.
- При утере или подозрении на компрометацию немедленно обращаться в удостоверяющий центр для аннулирования сертификата.
Критика и ограничения
Основные претензии к системе усиленных электронных подписей связаны с её сложностью для рядовых пользователей. Процесс получения сертификата (особенно квалифицированного) требует личного визита в удостоверяющий центр, что неудобно. Кроме того, существует проблема совместимости различных криптопровайдеров и форматов подписей, что может приводить к ошибкам при проверке подписи в разных информационных системах. Также отмечается высокая стоимость обслуживания (покупка токена, продление сертификата, оплата услуг удостоверяющего центра).
Источники
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
- Методические рекомендации по использованию электронной подписи (Минцифры России).
- ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
- Материалы официального сайта Федеральной налоговой службы (nalog.gov.ru) — раздел «Электронная подпись».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →