01.07.2022

Электронная цифровая подпись ― что это, зачем и где взять Рассказываем о практических аспектах использования ЭЦП

Текст Павел Иевлев

ЭЦП — электронная цифровая подпись ― давно уже стала обыденностью. Некоторые ее виды использует каждый человек, хотя и не всегда знает об этом. Так что же представляет собой эта технология?

Когда-то неграмотные люди подписывались, ставя крестик. Сейчас самые грамотные подписываются электронной подписью. Мир меняется, но необходимость удостоверения документов неизменна ― человек должен иметь возможность заверить тот факт, что некое значимое действие совершено лично им. Подписи, личные печати, отпечаток перстня на сургуче, отпечаток пальца на бумаге ― все это способы избежать обмана при заключении разного рода сделок. Все они требуют максимальной надежности, то есть должны исключать подделку идентификации пользователя.

Ручная подпись (поставленная на бумаге закорючка) все еще остается наиболее распространенным способом заверки документов. Надежность метода очевидно невысока, скопировать даже самую сложную подпись возможно, поэтому использование ее обычно требует «двухэтапной аутентификации» ― то есть личного присутствия удостоверяющего, который, в свою очередь, удостоверяет свою личность паспортом или иным документом. Это знает любой, кто хоть раз в жизни был у нотариуса. Для большинства граждан, которые подписывают значимые документы далеко не каждый день, это приемлемо, а вот, скажем, для бизнеса, где в день могут совершаться десятки сделок, необходимость личного присутствия подписывающего ― большое неудобство, потому используется комбинация «подпись плюс печать», а также другие способы удостоверения сделки. Но как быть с цифровым документооборотом?

Необходимость обмениваться бумажными копиями договоров ― атавизм доцифровой эпохи, который постепенно отходит в прошлое. Поэтому для удостоверения юридически значимых действий в наш быт прочно вошла ЭЦП.

Что такое ЭЦП

ЭЦП — электронная цифровая подпись, которая обеспечивает юридическую значимость для электронных документов. Фиксирует информацию, которая была в документе на момент подписания, тем самым подтверждая ее неизменность.

Основные преимущества ЭЦП:

· ее гораздо сложнее подделать, чем закорючку на бумаге;

· она не требует «двойной аутентификации пользователя»;

· ее можно использовать удаленно;

· она расширяет возможности для бизнеса (некоторые виды деятельности сейчас без нее просто невозможны).

Технически ЭЦП (кроме самых простых) представляет собой двухсоставный криптографический ключ: открытый ключ, он же сертификат, и закрытый ключ — криптографическая часть. Электронная подпись работает по ассиметричному принципу шифрования: документ зашифровывается с помощью закрытого ключа, а расшифровывается с помощью открытого. Так подтверждается, что документ подписан именно нужным лицом, и одновременно заверяется его неизменность с момента подписания.

Сертификат, открытая часть ключа, является главным носителем информации ― он сообщает сведения о владельце, об удостоверяющем центре, срок действия электронной подписи и так далее. Закрытая часть содержит только алгоритм шифрования, который должен отвечать ряду требований, например в России ― соответствовать ГОСТ Р 34.10-2012.

Использование ЭЦП происходит следующим образом: сначала хеш документа шифруется с помощью закрытого ключа ― это, собственно, и есть «электронная подпись», которая прикрепляется к документу, ― затем добавляется сертификат проверки, заверенный удостоверяющим центром. Это подтверждает, что к документу прикреплена именно подпись, а не случайный набор цифр. На сайте удостоверяющего центра, как правило, можно скачать открытый ключ проверки, хеш которого должен совпадать с хешем открытого ключа владельца. Таким образом доказывается его достоверность.

Это только звучит сложно, на самом деле все операции выполняет специализированное ПО, а владелец подписи лишь подтверждает свое согласие подписать, подтверждая личность аппаратными средствами ― специальным токеном, телефоном с установленной программой и так далее.

ПЭП и НЭП ― ЭЦП для народа

Электронные подписи для простоты делят на три типа. Самая простая и распространенная ― ПЭП, «простая электронная подпись». Технически она реализуется множеством способов, и ее использует практически каждый человек. Например, пара «логин-пароль» для входа на сайт ― это ПЭП. СМС-подтверждение при оплате в интернете ― это тоже ПЭП, более надежная.

При помощи ПЭП можно подписывать и документы. Например, в Microsoft Office есть встроенная функция: «Файл» ― «Защита документа» ― «Добавить цифровую подпись».

В общем «простота» подписи не в технической ее реализации и криптографической надежности, это юридическое понятие. Дело в том, что ПЭП не является юридически значимой для всех, а используется по договоренности между контрагентами. Скажем, вы можете подтвердить банку транзакцию по СМС, но только потому, что в вашем договоре с ним оговорено это условие. И вы, и банк соглашаетесь принимать этот вид ПЭП. Также вы можете договориться с партнером по бизнесу и подписывать документооборот с ним при помощи Microsoft Office, но налоговая такую подпись от вас уже не примет.

Следующая степень защиты ― НЭП. Усиленная неквалифицированная электронная подпись. Она создается с помощью специального программного обеспечения (средств криптографической защиты) и закрытого ключа электронной подписи. НЭП позволяет не только определить личность ее владельца, но и проверить, были ли внесены изменения в документ после его отправки.

Есть отечественное ПО для создания «усиленных» подписей ― КриптоПро CSP. Есть платная услуга ― получить электронную подпись в удостоверяющем центре, где сертификат запишут на USB-токен.

НЭП обычно используется во внутреннем документообороте серьезных компаний, хотя, как и ПЭП, ее можно использовать и между юрлицами ― при условии предварительной договоренности о признании юридической значимости.

Налоговая, тем не менее, НЭП все равно не примет.

Спасибо, КЭП!

КЭП, или усиленная квалифицированная электронная подпись ― единственная «настоящая» ЭЦП. Настоящая в том смысле, что юридически равнозначна личной подписи во всех случаях, где таковая используется. Равнозначность документов, подписанных собственноручно на бумаге, и электронных документов, подписанных квалифицированной электронной подписью, установлена статьей 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи». А значит, она должна приниматься везде ― в налоговой, при заключении сделок, подписании контрактов, заверении нотариата и так далее. На практике это ограничивается лишь техническими возможностями принимающей стороны.

Технически КЭП состоит из двух частей: проверочного сертификата для ключа подписи (USB-носитель) и лицензированного дистрибутива — установочного пакета специальной программы, ― который можно использовать в течение ограниченного периода действия ключа.

В некоторых случаях обе функции совмещает специальное ПО на телефоне (например, myDSS), но при этом использование КЭП ограничено.

Приобрести квалифицированную электронную подпись можно только в удостоверяющем центре, аккредитованном Минкомсвязи. Самой популярной программой-криптопровайдером в России является «КриптоПро CSP».

На сегодня в России КЭП массово используется в следующих случаях:

· для (пере)регистрации онлайн-кассы в ФНС;

· для удаленной подачи документов, в том числе налоговых и других деклараций;

· для работы с государственными порталами, включая ФНС, ПФР и другие;

· для участия в коммерческих и государственных торгах (тендерах) или покупки имущества банкротов на множестве площадок.

Несложно заметить, что КЭП нужна в основном юрлицам, хотя, если физическому лицу потребуется подать налоговую декларацию, оно тоже может получить себе КЭП. Однако это платное удовольствие, причем платить надо каждый год.

Где берут ЭЦП?

С ПЭП и НЭП все просто ― ее можно создать самостоятельно, используя специальное ПО ― лишь бы результат устроил вас и вашего контрагента, ― а можно оформить в удостоверяющих центрах.

С КЭП сложнее ― издавать квалифицированные ключи электронной подписи имеют право только специальные организации ― аккредитованные удостоверяющие центры, деятельность которых регулируется Минкомсвязи и ФСБ России. Удостоверяющий центр должен иметь аккредитацию Минкомсвязи, лицензии ФСБ и желательно ФСТЭК. Такие строгости вполне оправданы ― ведь получить КЭП все равно, что получить паспорт. Паспорта же не выдает кто попало? Для подачи заявления в аккредитованный удостоверяющий центр придется собрать пакет уставных документов организации и документов, удостоверяющих личность владельца.

Безопасность ЭЦП

Следует помнить, что самое слабое место ЭЦП ― это ее владелец. Взломать криптографию подписи для ее компрометации электронными средствами не то, чтобы невозможно в принципе ― просто не окупится по сложности. А вот случаи неаккуратного обращения с токенами очень часты.

Первое, о чем предупреждают владельцев ЭЦП, ― не передавайте свой ключ электронной подписи третьим лицам. И тем не менее, ситуация, когда генеральный директор приобретает КЭП и передает его бухгалтеру для сдачи отчетности, более чем обычна в небольших компаниях. Копеечная экономия на получении отдельной КЭП часто обходится таким фирмам очень дорого.

В остальном, ЭЦП сейчас ― самый надежный из способов удостоверения личности и документов. Скорее всего, ее использование будет в ближайшее время всемерно расширяться.