Главная » Электронная подпись » Электронная цифровая подпись: как создается, когда и где используется?

Электронная цифровая подпись: как создается, когда и где используется?

На современном этапе развития технологий электронная цифровая подпись – наиболее эффективный инструмент для построения системы файлообмена с другими учреждениями и совершения сделок в удаленном режиме с помощью интернета. Это и электронные торги, и подача отчетности в государственные структуры, и внутренний документооборот. Благодаря внедрению электронной цифровой подписи для всех предприятий открываются широкие возможности вести бизнес или неприбыльную деятельность далеко за пределами собственного региона, избегая бюрократических проволочек и неся минимальные издержки.

В чем преимущества ЭП

Предназначение электронной подписиДля того чтобы информационный текст, картинка или таблица превратились в документ, им нужны специфические реквизиты. Поэтому внедрение электронного документооборота и использование его выгод немыслимо без ЭП.

Применение тандема «оцифрованный документ – ЭП» внутри компании, а также с контрагентами, клиентами и контролирующими государственными инстанциями имеет ряд неоспоримых преимуществ, в том числе:

  • Скорость:
    • отправленный документ молниеносно достигает адресата;
    • любой файл, в том числе архивный, можно быстро найти в системе по одному из реквизитов либо по входящей в текст фразе;
    • доступ к документам, в частности, и к тем, с которыми работают другие сотрудники, мгновенен.
  • Процессуальная экономия – автоматически происходят действия, которые при бумажном делопроизводстве требуют приложения массы усилий:
    • ведение реестров входящей и исходящей корреспонденции;
    • подшивка в папку оригинала с подписями и печатями;
    • формирование архива;
    • передача и получение документов.
  • Контроль над сроками реагирования на поручения.
  • Организация коллективной работы с документами.
  • Контролируемость работы с информацией:
    • каждого сотрудника учреждения;
    • организации в целом – все производимые с документами действия отслеживаются с привязкой ко времени.
  • Автоматическая проверка технических ошибок, например, при сдаче налоговой отчетности.

Электронный документ и электронная цифровая подпись пребывают в неразрывной взаимосвязи, поскольку для придания файлам официального характера и юридической значимости необходимо обеспечить их:

  • аутентичность – доказательное подтверждение авторства, времени формирования и отправки;
  • целостность – неизменность содержания исходного документа с момента формирования ЭП и до ее проверки.

Таким образом, ЭП выполняет в электронном документообороте все те же функции, какие для бумажного реализуются с помощью:

  • фирменного бланка;
  • личной рукописной подписи;
  • круглой печати.

Понятие ЭП

Задавшись вопросом, что это такое – электронно-цифровая подпись, следует обратиться к определению, данному федеральными актами. Законом «Об ЭП» предусмотрено, что она является информацией в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

ФЗ «Об электронной подписи» предусматривает три вида электронной подписи: простая, усиленная квалифицированная и усиленная неквалифицированная.

Отечественным законодательством четко определено, какие именно программные средства могут быть использованы для создания ЭП в РФ:

  • простая подпись формируется при помощи кодов, идентификаторов и паролей;
  • усиленная – посредством алгоритмов криптошифрования;
  • квалифицированная – на основе криптоалгоритмов, сертифицированных ФСБ и выданных аккредитованным центром удостоверения.

Ст. 6 ФЗ «Об электронной подписи» устанавливает, что «информация в электронной форме, подписанная только квалифицированной электронной подписью, признается электронным документом равнозначным документу на бумажном носителе, подписанному собственноручной подписью». А если в состав удостоверения документа на бумажном носителе входит собственноручная подпись и оттиск печати, то этому требованию соответствует электронный документ, подписанный усиленной электронной подписью.

Одной электронной подписью также могут быть подписаны несколько электронных документов (пакет электронных документов). Таким образом, квалифицированная электронная подпись считается самым надежным способом удостоверения электронного документа, и должна обязательно применяться при создании юридически значимых электронных документов в органах государственной власти и местного самоуправления.

Электронное взаимодействие можно осуществлять как с использованием электронной подписи разных видов, так и без нее.  Например, если в нотариальной деятельности принята усиленная квалифицированная электронная подпись, то в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд используется неквалифицированная электронная подпись, а в рамках ведомственного или корпоративного документооборота часто обходятся простой ЭП.

Иные подходы к определению ЭП

Согласно закону СНГ «Об ЭЦП», электронная цифровая подпись – это блок сведений, полученный в результате модификации исходных данных искомого файла с помощью закрытого ключа подписи.

Федеральный закон США «О ЭП в глобальной и внутригосударственной коммерции» определяет этот термин как оцифрованный знак, звук или процедуру, которые логически ассоциируются со сделкой или иным сообщением, формирующимся или допускаемым подписантом с целью заверки файла.

Профильный закон Болгарии трактует понятие электронной цифровой подписи гораздо шире и при этом не привязывается к конкретной технологии ее создания.

Указано, что ЭП могут выступать любые данные, привязанные к документу способом, который:

  • идентифицирует отправителя;
  • утверждает о согласии отправителя с содержанием сообщения;
  • предотвращает внесение изменений в документ после подписания;
  • был предварительно согласован сторонами документооборота.

Статус ЭП

Законодательство РФ в этом вопросе привязывается к технологии формирования ЭП. Это не единственный возможный подход. Болгарское законодательство, например, установило, что ЭП имеет силу собственноручной подписи во всех случаях, кроме тех, когда отправителем или адресатом оцифрованного сообщения является орган государственной власти либо местного самоуправления.

В РФ к личной подписи, заверенной печатью, без ограничений приравнивается только квалифицированная подпись. Презумпция ее действительности может быть опровергнута исключительно по решению суда.

Что до арбитражной практики, то в абсолютном большинстве случаев суды встают на сторону лица, которое действовало добросовестно и правомерно. Так, например, директор предприятия, незаконно передавший собственную квалифицированную ЭП заместителю, не найдет поддержки, оспаривая действительность подписанного от его имени договора.

При этом документы, заверенные усиленной квалифицированной ЭП, могут быть признаны недействительными в тех случаях, когда это возможно относительно бумажного документа с личной подписью. Например, подписант вследствие вовремя не обнаруженного психического заболевания на момент формирования подписи находился в невменяемом состоянии.

Для чего нужна ЭЦПНесмотря на то что клиенты банков проявляют больше осмотрительности в использовании ЭП, подавляющее большинство судебных решений вынесено в пользу банков. Клиенты банков по-прежнему допускают доступ посторонних лиц к секретным ключам электронной подписи, передают эти ключи неуполномоченным лицам, допускают наличие на компьютерах вредоносных программ. Все это неизбежно приводит к мошенническим действиям и убыткам, причиненным клиентам банка за счет списания денежных средств с расчетных счетов по спорным платежным поручениям.

Учитывая практику развития электронного бизнеса, когда заключение и исполнение договора услуг производятся в электронной форме, необходимо особое внимание уделять положениям заключаемого договора, касающимся принципов идентификации отправителя и условий признания равнозначности электронных документов и документов на бумажном носителе.

Например, в договоре займа, заключаемого с использованием системы «Без банка» предусмотрены следующие условия: «Вход пользователя в систему под своим уникальным именем, подтвержденный паролем пользователя, позволяет исполнителю и принимающей стороне однозначно установить отправителя сообщения (документа) в системе, а также обеспечить защиту данного сообщения (документа) от подлога. Все документы (сообщения) оформленные пользователями в системе под своим именем и паролем признаются пользователями и исполнителем как документы (сообщения), подписанные электронной подписью и являются равнозначными (имеющими одинаковую юридическую силу) документам на бумажном носителе».

Простая и усиленная ЭП считаются равными по статусу собственноручному росчерку только в случае, если это определено отдельным соглашением участников электронного документооборота. То есть, в установленных законодательством случаях ЭП является полноценной заменой рукотворной подписи на бумаге, а при необходимости – и печати, но значительно превосходящей их по защищенности от подделки.

Направления использования ЭП

Цифровой документооборот активно развивается и постепенно вытесняет бумажное делопроизводство. В связи с этим находит все новые сферы применения ЭП.

В публичных правоотношениях ЭП используется:

  • в рамках целевой системы электронного правительства;
  • для организации предоставления и получения государственных и муниципальных административных услуг;
  • с целью проведения аукционов и тендеров онлайн в процедуре государственного и муниципального заказа;
  • для отправки бухгалтерской, налоговой, статистической и иной отчетности.

ЭП в частных гражданских правоотношениях применяется для:

  • организации внутреннего юридически значимого документооборота;
  • работы в системе клиент-банк;
  • заключения онлайн договоров, подписания актов приема-передачи исполненных работ, передачи счетов;
  • оформления трудовых отношений с удаленными нанятыми работниками.

Из истории вопроса

Первыми организациями РФ, которые фактически начали внедрять ЭП, стали отечественные банки. Пилотный проект был запущен Банком России, а далее перенят другими финансовыми учреждениями. Сначала ЭП использовалась исключительно в корпоративных системах документодвижения, а позже – во внешних системах типа «клиент-банк».

Крупные субъекты хозяйственной деятельности также использовали ЭП, но гораздо реже. Следует признать, что до принятия первого профильного закона «Об ЭЦП» в 2002 г. (ныне он утратил силу) основной ее задачей выступала защита корпоративной информации. Требования к ЭП (ЭЦП) устанавливалась ГОСТами 1994 и 2002 гг.

ГОСТ 2002 года ввел новое техническое требование к ЭП – она должна была разрабатываться на основе расчетов в группе точек эллиптической кривой. Суть технологии заключается в том, что невозможно вычислить ни открытый, ни тем более личный ключ подписи по ЭП, имеющейся в тексте заверенного ею файла.

Для обеспечения надежности ЭП ее обязательными атрибутами являются:

  • криптошифровальная составляющая, гарантирующая надежность информации о подписанте;
  • сведения о подписанте – название и налоговый код юридического лица, ФИО и занимаемая должность законного представителя;
  • технические данные – точное время подписания, иные сведения для произведения проверки, заметки, росчерк подписи и другие.

Технология криптозащиты характеризуется абсолютной независимостью уровня гарантированной защиты от доступности алгоритмов построения ЭП. Новая редакция профильного закона «Об ЭП» 2015 года сохранила все достояния и наработки предыдущих документов.

При этом:

  • понятие и виды ЭП адаптированы к мировым стандартам и европейской практике;
  • относительно простой и усиленной ЭП сохранены положения о возможности установления их юридической силы и приравнивания к собственноручной подписи собственником (оператором) информационной системы, в которой они используются;
  • закреплено положение об однозначном уравнивании юридической силы квалифицированной ЭП и собственноручно исполненной подписи на бумаге, заверенной оттиском гербовой печати. Пользователю нужно иметь в доверенных только сертификат Головного Удостоверяющего центра, поскольку все сертификаты проверки ключа ЭП позволяют построить цепочки сертификатов до него.

Цели применения

Понять, что такое электронная цифровая подпись, можно, уяснив, выполнение каких задач она позволяет обеспечить:

  1. Контроль целостности содержания документа. Если в документ случайно или предумышленно вносились некие правки, сформированная в нем ЭП становится недействительной, потому как она математически рассчитана исходя из первоначального содержания документа и соответствует лишь ему.
  2. Аутентичность, проявляющаяся в юридической невозможности отказаться от авторства. Создание соответствующей подписи предполагает владение личным ключом, известным только его хозяину. Владелец лично ответственен за обеспечение конфиденциальности ключа и своевременное уведомление удостоверяющего центра о необходимости блокировки. Поэтому он юридически не наделен правом отказаться от сформированной подписи.
  3. Защита от подделки. Поскольку изменение документа в любом случае будет выявлено при проверке ЭП посредством открытого ключа, подлог здесь совершить нереально.

Технология электронной подписи

Польза от ЭЦПЭП является информационным блоком, присоединенным к тексту файла, или результатом модификации сведений о документе посредством криптографических механизмов. Эти программные методы дают возможность получателю подтвердить источник информации и одновременно обеспечивают защиту от подделки со стороны третьих лиц или же самого получателя.

Технологически ЭП могут быть двух видов:

  • без регенерации содержания – подпись с помощью использования метода конкатенации (соединения строк) присоединяется к набору данных о документе;
  • с регенерацией содержания – передается только ЭП, а исходный файл создается в результате обратного преобразования.

Электронно-цифровая подпись документа формируется на основе двух типов алгоритмов. Алгоритм схемы ЭП:

  • используется отправителем для формирования ЭП в файле;
  • должен содержаться в режиме абсолютной конфиденциальности, чтобы не допустить вычисления истинного значения ЭП (в самом распространенном варианте для этого используют личный ключ);
  • определяется совокупностью всех данных о документе, поскольку только в этом случае даже незначительное изменение маловажного параметра повлечет недействительность подписи.

Алгоритм проверки:

  • должен быть открытым;
  • призван обеспечить возможность любому участнику документооборота проверить подлинность файла без доступа к какой-либо засекреченной информации.

Алгоритм проверки является универсальным и может использоваться для разных целей, в том числе – для защиты информации в системах автоматического контроля над удаленными объектами.

Одновременное использование этих алгоритмов обеспечивает выполнение трех различных задач:

  • определение источника документа;
  • установление целостности файла;
  • обеспечение юридической невозможности отрицания авторства.

Таким образом, сочетание алгоритмов схемы и проверки ЭП порождает уникальную технологию, не имеющую аналогов. А применение к ней термина «подпись» является скорее свидетельством схожести целей ее использования с рукописным росчерком.

Надежность ЭП

Стойкость ЭП относительно внешних атак определяется тем, что злоумышленник не сможет произвести такие действия:

  • имитация подписи – нахождение истинного значения ЭП под посланным документом третьим лицом;
  • подлог документа – создание удостоверенного подписью сообщения без знания секретного ключа;
  • подмена сообщения – замена отправленного файла иным, другого содержания посредством подбора файлов с одинаковыми значениями;
  • генерация заверенного подписью файла – нахождение сообщения с правильным значением без знания личного (секретного) ключа ЭП.

Гарантией защиты от подобных атак является выбор надежной схемы ЭП.

Самой совершенной и одновременно наиболее распространенной является технология ассиметричных криптологических схем.

Использование ее гарантирует невозможность таких действий третьих лиц:

  • узнать идентификационные данные владельца ЭП;
  • узнать, что личный ключ во время формирования подписи находился у владельца ЭП.

Достижение первой цели реализуется посредством создания специальной инфраструктуры – сертификатов открытых ключей ЭП, а второй – проставления токенов (цифровых идентификаторов) с временными метками либо штампами. Значение времени определяется автоматически и кодируется при отправке файла.

По этой причине электронно-цифровая подпись для создания требует:

  • использования сертификата открытых ключей;
  • привлечения в отношения по документообороту третьей стороны
  • посредника для проведения процедур подписания и проверки подписи (доверенного центра).

Использование ЭЦП гораздо удобнее в первом названном варианте. Поэтому второй уже давно не используется в документообороте российскими предприятиями.

Федеральная служба безопасности РФ является уполномоченным федеральным органом исполнительной власти в области обеспечения безопасности использования электронной подписи. В 2008–2015 гг. ФСБ обновила комплекс стандартов, касающихся алгоритмов выработки и проверки электронной подписи.

С 1 января 2013 года были введены в действие ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» и ГОСТ Р 34.11.2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».

Поделитесь материалом в соц сетях:

загрузка...
Ваш комментарий:

*

*

закрыть рекламу x
закрыть рекламу x
закрыть рекламу x
закрыть рекламу x