«РОСЭУ» - ассоциация «Разработчики и Операторы Систем Электронных Услуг»

Электронная цифровая подпись простым языком

15 Апреля 2011 Назад

Электронная цифровая подпись простым языком

Применение ЭЦП позволяет обеспечить следующие функции системы электронного делопроизводства и документооборота:
  1. Равнозначность ЭЦП собственноручной подписи.
  2. Гарантированная защита электронных документов (электронных сообщений) от возможной подделки путем искажения.
  3. Неотказуемость лица от факта подписания им электронного документа.
  4. Обеспечение возможности оформления оригиналов широкого спектра типов документов исключительно в виде электронных документов с обеспечением их юридической силы.

Преимущества оформления и обработки документов в электронной форме не требуют отдельного разъяснения. Они очевидны. Это и гибкость в создании, и оперативность в обработке и существенное снижение накладных расходов на документирование: бумага, почтовые расходы и т.д.

Общая технология применения ЭЦП

Для понимания технологии применения ЭЦП необходимо привести ряд основных терминов, их определений и разъяснений.

Ключ подписи (эквивалентные термины: закрытый ключ, секретный ключ) – число, записанное на носителе (дискета, флэшка, токен и т.д.) в виде группы файлов, с помощью которого создается ЭЦП.

Ключом подписи владеет физическое лицо (сотрудник организации) и владелец ключа подписи должен сохранять его в тайне. Ключ подписи имеет свой срок действия. Как правило, он устанавливается 1 год. Но не более 1 года и 3 месяцев, в соответствии с требованиями ФСБ России.

Сертификат ключа подписи (эквивалентные термины: сертификат открытого ключа, сертификат, СКП) – это своего рода электронная доверенность, изготавливаемая и выдаваемая удостоверяющим центром. Можно сказать, что это файл специальной структуры. Сертификат закрепляет факт владения физическим лицом (сотрудником организации) своим ключом подписи и правомочность данного лица по подписи определенных типов документов или совершения определенных действий. Сертификат не содержит никакой тайны и может быть передан кому угодно. С помощью сертификата проверяется ЭЦП в документе. Сертификат тоже имеет свой срок действия, и этот срок устанавливает удостоверяющим центром при его изготовлении.

Как правило, срок действия сертификатов колеблется от 1 года до 5 лет. Сертификат может быть действующим (срок действия его наступил и неокончен) или просроченным или отозванным (аннулированным).

Удостоверяющий центр (сокращенно: УЦ) – это организация или рабочая группа в организации, которая изготавливает, выдает и управляет (аннулирует, приостанавливает или возобновляет действие) сертификатами ключей подписи. Удостоверяющий центр является доверенной стороной для всех участников системы электронного документооборота.

Удостоверяющий центр изготавливает, выдает и управляет сертификатами ключей подписи в порядке, который он сам и определяет. Этот порядок деятельности Удостоверяющего центра обычно называют Регламентом деятельности УЦ. В УЦ есть уполномоченное лицо, которое подписывает изготовляемые сертификаты ключей подписей для участников системы электронного документооборота.

Средство электронной цифровой подписи (эквивалентные термины: средство криптографической защиты информации (СКЗИ), шифровальное (криптографическое) средство) – это чаще всего программа для ЭВМ, с помощью которого создается и проверяется ЭЦП. Средства ЭЦП сертифицируются ФСБ России.

Между ключом подписи и сертификатом ключа подписи есть математическая связь. Удостоверяющий центр обеспечивает, что одному сертификату ключа подписи соответствует свой один, уникальный, закрытый ключ.

ЭЦП создается с помощью средств ЭЦП только владельцем ключа подписи и соответствующего ему сертификата с помощью ключа подписи. ЭЦП может быть создана только в течение срока действия ключа подписи.

Все сформированные ЭЦП уникальны, нет повторяющихся ЭЦП. Даже один и тот же документ, многократно подписанный с помощью одного и того же ключа подписи, будет содержать отличающиеся по содержанию ЭЦП.

Документ может быть мультивизовым и содержать любое, неограниченное, число ЭЦП различных лиц.

Проверяться ЭЦП может любым лицом, с помощью средства ЭЦП и сертификата ключа подписи. Изменение любого знака в документе или подписи даёт отрицательный результат проверки ЭЦП. Такой же результат проверки ЭЦП получается в том случае, если сертификат ключа подписи не является действующим.

Порядок использования электронных цифровых подписей в СЭД

Порядок использования электронных цифровых подписей в системе электронного документооборота устанавливается решением владельца (организатора) такой системы или соглашением между участниками этой системы. Обычно решение владельца системы или соглашение между участниками такой системы оформляется в виде письменного документа, обычно называемого Регламентом (соглашением) исполнения электронных документов, удостоверенных ЭЦП. Такой Регламент оформляется в виде решения владельца системы (в форме локального нормативного акта) или в форме соглашения участников системы (если участниками являются не сотрудники одной организации, а юридические лица) до начала работы системы электронного документооборота (до начала исполнения электронных документов), т.е. превентивно. Этого требует часть 2 статьи 17 Федерального закона от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи" и ст. 160 Гражданского кодекса РФ.

Как минимум, Регламент исполнения электронных документов, удостоверенных ЭЦП, включает следующие положения:

  • обязательство принимать к исполнению или к сведению электронные документы, удостоверенные ЭЦП, и удовлетворяющие условиям настоящего Регламента;
  • детализированные (по сравнению со ст. 4 Федерального закона от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи") условия равнозначности ЭЦП собственноручной подписи;
  • кто выступает в системе в качестве удостоверяющего центра;
  • какие средства ЭЦП используются в системе;
  • какие типы электронных документов удостоверяются ЭЦП и применяются к исполнению или к сведению;
  • порядок разрешения конфликтов/споров, связанных с применением ЭЦП.

Обычно устанавливается, что ЭЦП в электронном документе равнозначна собственноручной подписи владельца сертификата ключа подписи при одновременном соблюдении следующих условий:

  • сертификат ключа подписи, соответствующий электронной цифровой подписи, издан доверенным УЦ;
  • владелец сертификата ключа подписи идентифицирован по содержимому сертификата ключа подписи;
  • сертификат ключа подписи является действующим;
  • ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи и определяемые Регламентом деятельности УЦ в части отношений, при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение;
  • положительный результат проверки с использованием средства ЭЦП на предмет отсутствия искажений в подписанном данной ЭЦП электронном документе;
  • ключ подписи на момент подписания электронного документа действовал.

Удостоверяющие центры являются обязательным компонентом для применения ЭЦП.

Теоретически удостоверяющим центром может быть как юридическое, так и физическое лицо. Хотя конечно, в реальности услуги удостоверяющего центра предоставляют только юридические лица.

Различают две категории удостоверяющих центров:

  • внешние – организации, которые оказывают на договорной основе услуги по изготовлению и выдаче сертификатов ключей подписи для нескольких систем документооборота (такие удостоверяющие центры еще называют публичными);
  • собственные – подразделение или рабочая группа предприятия, которая обслуживает систему документооборота на предприятии (такие удостоверяющие центры ещё называют корпоративными). Статус такого УЦ определяется внутренним нормативным документов (приказом), утверждающим положение об удостоверяющем центре.

Поэтому при внедрении системы документооборота с ЭЦП необходимо решить вопрос с удостоверяющим центром – создать собственный или заключить договор с внешним удостоверяющим центром. Какой выбрать? Создание своего удостоверяющего центра – это достаточно хлопотное и затратное мероприятие. Затраты составят сумму свыше 2 миллионов руб. Также необходимо получение лицензий ФСБ России на деятельности связанные с шифровальными (криптографическими) средствами.

Экономически целесообразно создавать собственный удостоверяющий центр, если количество пользователей в системе документооборота превышает 500 человек. В противном случае, экономически целесообразно заключить договор с внешней организацией, предоставляющей подобные услуги.

В настоящий момент в России действуют свыше 300 удостоверяющих центров. Остается только выбрать среди них наиболее подходящий для вас.

Практика применения ЭЦП

Технология ЭЦП уже прочно вошла в отечественную практику работы с электронными документами и сложилась обширная практика применения ЭЦП.

Наиболее известными государственными системами с применением ЭЦП являются:

  1. системы сдачи отчетности в электронной форме по телекоммуникационным каналам связи в налоговые органы, ПФР, ФСС, Росстат, Росалкогольрегулирование.
  2. система электронного таможенного декларирования;
  3. система предоставления сведений, содержащихся в Едином государственном реестре прав на недвижимое имущество и сделок с ним.

Этими системами пользуются уже миллионы юридических и физических лиц.

Внедрены и активно используются системы обмена между организациями электронными документами, удостоверенными ЭЦП, документирующие факты финансово хозяйственной деятельности (договора, накладные, акты и т.д.).

В настоящее время сложилась достаточно обширная судебная практика по делам, в которых в качестве полноценных доказательств принимаются документы в электронной форме, удостоверенные ЭЦП. Эта практика существует и по уголовным делам, и по арбитражным, и по гражданским.

Таким образом, практика применения ЭЦП показывает, что обеспечение равнозначности ЭЦП собственноручной подписи и придание ЭЦП юридической силы не является инновационной, экстраординарной задачей. Количество систем электронного документооборота, в которых используется ЭЦП, неуклонно возрастает. Использование таких систем приносит ощутимую экономическую выгоду.

16.02.2011 Юрий Маслов, Эксперт НП «РОСЭУ», Коммерческий директор компании «КРИПТО-ПРО»

Назад

Новости

10 Июня 2019

АНАЛИТИЧЕСКАЯ СПРАВКА Динамика распространения информационной атаки по системе квалифицированной электронной подписи

Подробно »


Все новости »
Как вступить в РОСЭУ
Роуминг
Форматы
Расширенный Справочник УЦ
Аналитика отчётности ФСС
Прочая информация