Закрытый ключ электронной подписи
Закрытый ключ электронной подписи (также секретный ключ, приватный ключ, private key) — это уникальная последовательность символов (битовая строка), известная только владельцу сертификата ключа подписи и предназначенная для создания электронной подписи (ЭП) в электронных документах. Закрытый ключ является криптографическим секретом, обеспечивающим неотказуемость и целостность подписанных данных. В соответствии с Федеральным законом № 63-ФЗ «Об электронной подписи», закрытый ключ относится к средствам электронной подписи и подлежит защите от несанкционированного доступа.
Криптографические основы
Закрытый ключ является частью асимметричной криптосистемы, где каждому закрытому ключу однозначно соответствует открытый ключ, доступный всем участникам документооборота. Связь между ключами устанавливается математически: из закрытого ключа можно вычислить открытый, но обратное преобразование (из открытого ключа получить закрытый) считается вычислительно невозможным при достаточной длине ключа.
При создании электронной подписи владелец с помощью закрытого ключа генерирует уникальную цифровую метку, которая прикрепляется к документу. Проверка подписи осуществляется с использованием открытого ключа, который обычно содержится в сертификате. Если подпись верна, это доказывает, что документ подписан именно владельцем закрытого ключа и не был изменён после подписания.
Форматы и представление
Закрытый ключ может быть представлен в различных форматах в зависимости от используемого криптографического стандарта:
- PKCS#12 (PFX/P12) — контейнер, содержащий как закрытый, так и открытый ключи, защищённый паролем; широко используется в Microsoft Windows.
- PEM (Privacy-Enhanced Mail) — текстовое представление ключа в кодировке Base64 с заголовками; часто применяется в Linux/Unix-системах.
- DER — бинарное представление ключа в формате ASN.1, без текстовой обёртки.
- PKCS#8 — стандарт для хранения закрытых ключей, может быть как в PEM, так и в DER.
Ключ обычно хранится в виде файла с расширением .key, .p12, .pfx, .pem или .der. В российских криптографических стандартах (ГОСТ Р 34.10-2012) закрытый ключ представляет собой случайное целое число в определённом диапазоне, длина которого составляет 256 бит (для эллиптической криптографии).
Генерация закрытого ключа
Процесс генерации закрытого ключа выполняется с использованием аппаратных или программных средств, сертифицированных в установленном порядке. Ключевые требования:
- Случайность. Ключ должен генерироваться аппаратным или программным датчиком случайных чисел, обеспечивающим равномерное распределение и непредсказуемость.
- Уникальность. Вероятность повторения ключа у разных пользователей должна быть пренебрежимо мала.
- Защита от копирования. В некоторых случаях (например, в токенах) ключ генерируется непосредственно в защищённом устройстве и никогда не покидает его.
В удостоверяющих центрах (УЦ) генерация закрытого ключа может производиться как на стороне заявителя (с помощью предоставленного УЦ программного обеспечения), так и на стороне УЦ с последующей передачей ключа заявителю по защищённому каналу.
Хранение и защита
Безопасность электронной подписи напрямую зависит от сохранности закрытого ключа. Основные способы хранения:
- Программное хранение — на жёстком диске компьютера, в реестре Windows, в защищённом контейнере (например, КриптоПро CSP). Обычно защищается паролем или PIN-кодом.
- Аппаратное хранение — на специализированных устройствах: USB-токенах (JaCarta, Рутокен), смарт-картах, HSM-модулях. Ключ генерируется внутри устройства и не может быть извлечён в виде файла.
- Облачное хранение — на серверах удостоверяющего центра или оператора электронного документооборота, с доступом через защищённый протокол.
Аппаратное хранение считается более надёжным, так как исключает возможность кражи ключа через вредоносное ПО. Согласно требованиям ФСБ России, для квалифицированной электронной подписи (КЭП) закрытый ключ должен храниться на сертифицированном носителе.
Применение
Закрытый ключ электронной подписи используется в следующих сценариях:
- Подписание документов — в системах электронного документооборота (ЭДО), при сдаче отчётности в налоговые органы, ПФР, Росстат.
- Авторизация — в государственных информационных системах (Госуслуги, ЕСИА) для подтверждения личности.
- Шифрование данных — в некоторых протоколах закрытый ключ применяется для расшифровки сообщений, зашифрованных открытым ключом.
- Аутентификация — при подключении к защищённым ресурсам (VPN, веб-серверы).
В России для юридических лиц и индивидуальных предпринимателей квалифицированная электронная подпись (с использованием закрытого ключа) является обязательной для сдачи отчётности в ФНС, ПФР и ФСС.
Утрата и компрометация
Утрата закрытого ключа (вследствие потери носителя, забытого пароля или физического повреждения) приводит к невозможности подписания документов. Восстановить ключ невозможно — для продолжения работы необходимо получить новый сертификат в удостоверяющем центре.
Компрометация закрытого ключа (когда ключ стал известен третьим лицам) представляет серьёзную угрозу. В этом случае владелец обязан немедленно отозвать сертификат в УЦ и прекратить использование скомпрометированного ключа. Последствия использования скомпрометированного ключа могут включать:
- Подделку документов от имени владельца.
- Финансовые потери при подписании фиктивных договоров.
- Юридическую ответственность за подписанные третьими лицами документы.
Правовое регулирование в России
В Российской Федерации использование закрытых ключей регулируется:
- Федеральный закон № 63-ФЗ «Об электронной подписи» — определяет требования к ключам и сертификатам.
- ГОСТ Р 34.10-2012 — устанавливает алгоритмы формирования и проверки электронной подписи на основе эллиптической кривой.
- Приказы ФСБ России — регламентируют требования к средствам криптографической защиты информации (СКЗИ), включая генерацию и хранение ключей.
Ключи для квалифицированной электронной подписи должны создаваться только в УЦ, аккредитованных Минцифры России, с использованием сертифицированных СКЗИ.
Срок действия
Закрытый ключ не имеет самостоятельного срока действия, однако он связан с сертификатом открытого ключа, который выдаётся на определённый период (обычно 1 год). По истечении срока сертификата закрытый ключ может использоваться только для проверки ранее созданных подписей, но не для создания новых. Для продолжения работы необходимо получить новый сертификат, что часто подразумевает генерацию нового закрытого ключа.
Примеры алгоритмов
Наиболее распространённые криптографические алгоритмы, использующие закрытые ключи:
- RSA — длина ключа от 1024 до 4096 бит; используется в международном документообороте.
- ГОСТ Р 34.10-2012 — длина ключа 256 бит; обязателен для КЭП в России.
- ECDSA — на основе эллиптических кривых; применяется в блокчейне и международных стандартах.
Интересные факты
- В России закрытый ключ для КЭП юридического лица часто записывается на токен (USB-устройство) и может быть сгенерирован только на нём — копирование ключа в файл невозможно.
- При утере токена с ключом владелец теряет возможность подписывать документы до получения нового сертификата; восстановление ключа не предусмотрено.
- Некоторые удостоверяющие центры предлагают облачное хранение закрытого ключа, что позволяет подписывать документы с любого устройства без физического носителя.
Источники
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
- ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении требований к средствам электронной подписи».
- Методические рекомендации Минцифры России по использованию электронной подписи (2023).
- Руководство пользователя КриптоПро CSP (версия 5.0).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →