Электро́нная цифровая по́дпись

Электро́нная цифровая по́дпись (ЭЦП) — реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий установить отсутствие искажения информации в электронном документе с момента формирования подписи и проверить принадлежность подписи владельцу сертификата ключа подписи.

Виды электронных цифровых подписей

Существует три вида электронных цифровых подписей. Первый вид – простые ЭЦП. Создаются они при помощи специальных паролей, кодов и других похожих инструментов. Прямые подписи позволяют определить автора документа, но возможности проверить документ на наличие изменений с момента его подписания не существует. Второй вид ЭЦП – неквалифицированная усиленная цифровая подпись. Создается подобная подпись при помощи криптографических средств и позволяет определять не только того, кто создал документ, но и отслеживать все изменения в нем. Создаваться неквалифицированная усиленная ЭЦП может как при помощи сертификата, так и без него, однако в этом случае используемые технические средства для создания подписи должны полностью соответствовать всем требованиям закона. Третий вид – квалифицированная усиленная ЭЦП. Подобная ЭЦП обязательно имеет сертификат аккредитованного центра. К тому же, создается она при помощи технических средств, подтвержденных в ФСБ.

Неквалифицированные и простые ЭЦП могут заменять обычный бумажный документ с подписью в оговоренных законом случаях. Например, такие подписи используются для отправки органам власти заявлений от граждан. И наоборот, органы власти отправляют сообщения гражданским лицам. Согласно российским законам, иностранные ЭЦП приравниваются к соответствующим категориям действующих в России электронных цифровых подписей.

Простая ЭЦП не является механизмом подтверждения оригинальности документа. Так же и простая ЭЦП не служит гарантом того, что в документ не вносились изменения. Главная и единственная ее задача – подтвердить факт формирования подписи определенным человеко

 

Электронная подпись может использоваться в нескольких ипостасях. Закон «Об электронной подписи» определяет условия применения электронной подписи как ответственной подписи в документе, аналога собственноручной подписи и печати.    

Электронная подпись может применяться в разных областях:

• Электронная подпись может быть использована как ответственная подпись на электронном документе – то есть в качестве аналога собственноручной подписи и/или печати на бумажном документе. В частности, в этой ипостаси электронная подпись  используется в системах электронного документооборота разного назначения.
• Точно также электронная подпись широко используется для подписи программ или отдельных модулей, чтобы пользователь компьютера, загружая эти программы из Интернета, и используя их в работе, мог быть убежден в надежности и корректности их работы и надежности источника получения этих программ.
• Электронная подпись – это очень надежный инструмент, который позволяет, как установить авторство, так и подтвердить целостность любых данных в электронном виде. Например, полученное вами от, казалось бы, знакомого человека, письмо без электронной подписи может оказаться на самом деле поддельным или содержать искаженную после его отправления информацию. Использование электронной подписи такую возможность исключает. При проверке электронной подписи будет установлено, что документ был изменен после его подписания.
• При ведении деловой переписки канцеляриями или секретарями разных компаний электронная подпись  может служить в качестве «конверта» - на одном конце письмо запечатывают с помощью электронной подписи, а на финише получатель «вскрывает» конверт, предварительно убедившись в полной неприкосновенности и подлинности данных.
• С помощью электронной подписи можно согласовывать электронные варианты документов (например, договоров) как между различными службами внутри одной организации, так и между разными организациями. В таком случае текст договора будет защищен от несогласованных изменений, а каждая ответственная инстанция должна будет согласовать документ с помощью собственной электронной подписи, подтвердив тем самым свое отношение к нему. Такая подпись безошибочно расскажет не только о том, кто подписал документ, но и укажет дату и время подписи. Если же сотрудник решит отказаться от ответственности за визирование документа или отправку информации в письме, скрепленном его электронной подписью, то электронная подпись легко его уличит. Например, часто договор требуется согласовать с юридическим отделом, бухгалтерией и другими подразделениями компании, и лишь после этого его подпишут руководители обеих сторон. Такое согласование и визирование всеми ответственными службами можно проводить уже сейчас в электронном виде, применяя электронную подпись. 

 

    Перед тем как практически начать применять электронную подпись в своей работе, надо создать файлы сертификата и закрытого ключа. Сертификат будет использоваться для проверки подлинности данных подписанных электронной подписью любым человеком, использующим эти данные. А закрытый ключ нужен человеку для формирования электронной подписи подписываемых им данных. При создании сертификатов и ключей используется специальные криптографические программы, которые в принципе есть в составе операционной системы любого компьютера.    

Однако, доверять полученному таким образом сертификатам могут только люди, работающие на этом компьютере. Для того чтобы создать и в дальнейшем использовать сертификат, которому будут доверять все, кто будет проверять подлинность электронной подписи, нужна определенная организация, которая обеспечит нормативную, организационную и правовую основу использования выпущенных ею сертификатов. Такой организацией являетсяУдостоверяющий Центр.      

Электронная подпись аналогична подписи человека, а для того чтобы убедиться в подлинности документов, подписываемых человеком, любая организация отправляет его сначала к нотариусу, который проверив дееспособность человека удостоверяет его собственноручную подпись на самых различных документах.   

Конечно, организация, установив соответствующее программное обеспечение, может организовать собственный Удостоверяющий центр, но при этом следует иметь ввиду, что электронная подпись, наносимые работниками организации, не смогут иметь юридическое значение за пределами этой организации.     

Поэтому точно так же, как и при обращении к нотариусам, следует пользоваться услугами внешних аттестованных удостоверяющих центров. Подписав договор с Удостоверяющим Центром организация может получать от него сертификаты для своих работников, которые будут пользоваться электронную подпись.

2. Создание закрытого ключа и  получение сертификата.    

В процессе создания сертификата каждому из таких работников будет сгенерирован закрытый ключ. Процедура создания ключей может выполняться по-разному. Ключи могут создаваться в Удостоверяющем центре и передаваться пользователям вместе с сертификатом. Ключи могут создаваться и на рабочем месте пользователя в организации, а открытая часть ключа пересылаться в Удостоверяющий центр для последующего изготовления сертификата.     

И ключ, и сертификат хранятся в файлах. Для того, чтобы никто, кроме владельца подписи, не мог воспользоваться закрытым ключом, его обычно записывают на съемный носитель ключа. Его также как банковскую карточку для дополнительной защиты снабжают PIN кодом. И точно также как при операциях с картой, перед тем как воспользоваться ключом для создания электронной подписи надо ввести правильное значение PIN кода.    

Именно надежное сохранение пользователем своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и электронной подписи от имени заверяющего документ подписанта.    

Сертификат содержит всю необходимую информацию для проверки электронной подписи. Данные сертификата открыты и публичны. Поэтому обычно сертификаты хранятся в хранилище операционной системы (в каждом компьютере, в общем сетевом хранилище, в базе данных и т.п.). Конечно, все сертификаты всегда хранятся и в Удостоверяющем центре, точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие.     

Получение работником организации закрытого ключа, обеспечение его сохранности и действия с ним обычно регламентируется приказом по организации с утверждением инструктивных материалов. В них регламентируется порядок выпуска сертификатов, применение ключей для подписания документов, получение, замену, сдачу закрытого ключа работниками, и действия выполняемые при компрометации ключа. Последние аналогичны действиям выполняемым при потере банковской карты.

Криптографический ключ    

Криптографические ключи различаются согласно алгоритмам, в которых они используются.

• Симметричные ключи — ключи, используемые в симметричных алгоритмах шифрования. Главное свойство симметричных ключей: для выполнения как прямого, так и обратного криптографического преобразования (шифрование - расшифровывание) необходимо использовать один и тот же ключ. С одной стороны, это обеспечивает более высокую конфиденциальность сообщений, с другой стороны, создаёт проблемы распространения ключей в системах с большим количеством пользователей.
• Асимметричные ключи — ключи, используемые в асимметричных алгоритмах. Вообще говоря, они являются ключевой парой, поскольку всегда состоят из двух связанных друг с другом ключей:
• Закрытый (секретный) ключ — ключ, известный только своему владельцу. Только сохранение пользователем в тайне своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и электронной подписи от имени заверяющего.
• Открытый (публичный) ключ — ключ, который может быть опубликован и используется для проверки подлинности подписанного документа, а также для предупреждения мошенничества со стороны заверяющего лица в виде отказа его от подписи документа.

Главное свойство ключевой пары: по секретному ключу легко вычисляется открытый ключ, но по известному открытому ключу практически невозможно вычислить секретный.

 

 

РОССИЙСКАЯ ФЕДЕРАЦИЯФЕДЕРАЛЬНЫЙ ЗАКОНОБ ЭЛЕКТРОННОЙ ПОДПИСИ

Принят

Государственной Думой

25 марта 2011 года

Одобрен

Советом Федерации

30 марта 2011 года

(в ред. Федеральных законов  от 01.07.2011 N 169-ФЗ,

от 10.07.2012 N 108-ФЗ, от 05.04.2013 N 60-ФЗ,

от 02.07.2013 N 171-ФЗ, от 02.07.2013 N 185-ФЗ,

с изм., внесенными Федеральным законом от 12.03.2014 N 33-ФЗ)

(см. Обзор изменений данного документа)

Статья 1. Сфера действия настоящего Федерального закона

Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.

(в ред. Федерального закона от 05.04.2013 N 60-ФЗ)

(см. текст в предыдущей редакции)

Статья 2. Основные понятия, используемые в настоящем Федеральном законе

Для целей настоящего Федерального закона используются следующие основные понятия:

1) электронная подпись - информация  в электронной форме, которая  присоединена к другой информации  в электронной форме (подписываемой  информации) или иным образом  связана с такой информацией  и которая используется для  определения лица, подписывающего  информацию;

2) сертификат ключа проверки  электронной подписи - электронный  документ или документ на бумажном  носителе, выданные удостоверяющим  центром либо доверенным лицом  удостоверяющего центра и подтверждающие  принадлежность ключа проверки  электронной подписи владельцу  сертификата ключа проверки электронной  подписи;

3) квалифицированный сертификат  ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной  подписи, выданный аккредитованным  удостоверяющим центром или доверенным  лицом аккредитованного удостоверяющего  центра либо федеральным органом  исполнительной власти, уполномоченным  в сфере использования электронной  подписи (далее - уполномоченный федеральный  орган);

4) владелец сертификата  ключа проверки электронной подписи - лицо, которому в установленном  настоящим Федеральным законом  порядке выдан сертификат ключа  проверки электронной подписи;

5) ключ электронной подписи - уникальная последовательность  символов, предназначенная для создания  электронной подписи;

6) ключ проверки электронной  подписи - уникальная последовательность  символов, однозначно связанная  с ключом электронной подписи  и предназначенная для проверки  подлинности электронной подписи (далее - проверка электронной подписи);

7) удостоверяющий центр - юридическое лицо или индивидуальный  предприниматель, осуществляющие функции  по созданию и выдаче сертификатов  ключей проверки электронных  подписей, а также иные функции, предусмотренные настоящим Федеральным  законом;

8) аккредитация удостоверяющего  центра - признание уполномоченным  федеральным органом соответствия  удостоверяющего центра требованиям  настоящего Федерального закона;

9) средства электронной  подписи - шифровальные (криптографические) средства, используемые для реализации  хотя бы одной из следующих  функций - создание электронной подписи, проверка электронной подписи, создание  ключа электронной подписи и  ключа проверки электронной подписи;

10) средства удостоверяющего  центра - программные и (или) аппаратные  средства, используемые для реализации  функций удостоверяющего центра;

11) участники электронного  взаимодействия - осуществляющие обмен  информацией в электронной форме  государственные органы, органы  местного самоуправления, организации, а также граждане;

12) корпоративная информационная  система - информационная система, участники  электронного взаимодействия в  которой составляют определенный  круг лиц;

13) информационная система  общего пользования - информационная  система, участники электронного  взаимодействия в которой составляют  неопределенный круг лиц и  в использовании которой этим  лицам не может быть отказано.

Статья 3. Правовое регулирование отношений в области использования электронных подписей

1. Отношения в области  использования электронных подписей  регулируются настоящим Федеральным  законом, другими федеральными законами, принимаемыми в соответствии  с ними нормативными правовыми  актами, а также соглашениями  между участниками электронного  взаимодействия. Если иное не  установлено федеральными законами, принимаемыми в соответствии  с ними нормативными правовыми  актами или решением о создании  корпоративной информационной системы, порядок использования электронной  подписи в корпоративной информационной  системе может устанавливаться  оператором этой системы или  соглашением между участниками  электронного взаимодействия в  ней.

 

КонсультантПлюс: примечание.

Постановлением Правительства РФ от 25.06.2012 N 634 утверждены Правила определения видов электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг.

 

2. Виды электронных подписей, используемых органами исполнительной  власти и органами местного  самоуправления, порядок их использования, а также требования об обеспечении совместимости средств электронных подписей при организации электронного взаимодействия указанных органов между собой устанавливает Правительство Российской Федерации.