В 2019 г. завершается переход на ГОСТ, содержащий новые алгоритмы формирования средств электронно-цифровой подписи (далее – ЭЦП, ЭП, ЦП). Стандарт, принятый в 2012 г., пришел на замену ГОСТ-2001. В нем усложнена хеш-функция – криптоалгоритм Стрибог превосходит те, что применялись раньше.
Также в текущем, 2019 г. изменился порядок применения усиленной квалифицированной электронной подписи (далее – КЭП). В целях предотвращения волны махинаций с жильем законодатели экстренно разработали и приняли 02.08.2019 286-ФЗ.
Все подробности обсудим в статье.
Новый ГОСТ для ЭЦП, действующий с 01.01 2019
Первым стандартом, описывающим процедуру применения ЦП, стал ГОСТ Р 34.10-94, утвержденный Постановлением Госстандарта РФ от 23.05.94. Структура его алгоритма концептуально близка американскому DSS (DSA) – англ. Digital Signature Standard (Algorithm), базирующемуся на схеме Эль-Гамаля.
Параметры:
- p – простое число: размерность 512/1024 бит;
- q – делитель (p – 1) – простое число: размерность 256 бит;
- KS – закрытый ключ – выбирается рандомно из диапазона 0KS mod p.
Таблица №1 – процесс генерации и верификации ЭП по ГОСТ-94
Различия между первым российским стандартом и DSS минимальны – они чисто технические:
- различаются расчеты параметра s;
- как следствие, применяются разные формулы для верификации ЭП.
Стойкость алгоритмов ГОСТ Р 34.10-94 выше, чем DSS – размерность основного параметра отечественного алгоритма (q) составляет 256 бит, у DSS он лимитирован 160 битами. Также российский стандарт допускает использование строго 1024-битных значений для параметра p при реализации ЭП.
Следующий стандарт – ГОСТ Р 34.10-2001 принят постановлением Госстандарта России №380-ст. Он не является самостоятельным стандартом – фактически это редакция первого (ГОСТ 34.10-94). Между ними много общего – базовые понятия и термины остались неизменными. Ключевые различия:
- первый вариант предусматривает проведение части операций над полем, во второй версии эти же действия производятся над точками эллиптической кривой;
- числа p{displaystyle p}, q{displaystyle q}, a{displaystyle a}.
ГОСТ 34.10-2001 имеет более высокий уровень защиты, чем его предшественник.
Новый ГОСТ Р 34.10-2012 для ЭЦП, действующий с 01.01 2019, разрабатывался в соответствии со стандартами ISO – Международной организации по стандартизации. Основные изменения коснулись защиты сообщений от искажений и подделок.
Терминология, использованная для описания стандарта:
- Дополнение (строка). Состоит из ЦП и текста.
- Закрытый (секретный) ключ (СК) – уникальная комбинация закодированных данных. Привязана к конкретному пользователю. Используется при генерации ЭП.
- Открытый (публичный) ключ проверки — информационный фрагмент, связанный с СК математической функцией. Предназначен для верификации ЭП.
- Параметры схемы ЭЦП – общеизвестная информация, доступная всем пользователям.
- Процесс генерации электронной подписи – основан на одновременном использовании сообщения, СК и параметров схемы.
- Последовательность псевдослучайных чисел – результат выполнения арифметических действий.
- Процедура верификации ЭП – необходима для подтверждения ее достоверности.
- Сообщения — битовые строки определенной длины.
- Случайное число — формируется из множества с учетом одинаковой вероятности выбора каждой отдельной цифры.
- Хеш — строка со структурой, зависящей от метода генерации ЭП. Выходной результат хеш-функции.
Хеш-функция преобразует битовую строку в поле заданной длины, обладающее тремя свойствами:
- По его значению нельзя определить отраженные в нем данные.
- Владея «исходником», крайне сложно подобрать к нему параметры, подходящие для получения аналогичного результата.
- Невозможно вычислить другую пару «исходников» с идентичным значением хеш-функции.
Основные обозначения:
- множества: Vl – двоичных векторов длиной 1 бит, V – двоичных векторов произвольной длины, Z — простых целых чисел (далее – МПЦЛ);
- p — любое простое число больше 3;
- F(p) — поле в виде МПЦЛ;
- M — пользовательское сообщение вида M Є V*;
- (h1 || h2) – объединенная пара двоичных векторов;
- a, b — коэффициенты эллиптической кривой (далее – ЭК);
- m — группа точек ЭК;
- q — подгруппа точек ЭК;
- O — точка-ноль ЭК;
- P — точка ЭК порядка q;
- d — ключ ЦП;
- Q – точка ЭК – ключ верификации ЭЦП;
- ζ – ЦП под сообщением M.
Основные положения нового ГОСТ.
Генерация ЦП состоит из трех этапов:
- формирование секретного ключа;
- непосредственное создание ЦП;
- ее проверка.
Цель верификации – установление личности коммуниканта, заверившего электронной подписью цифровой документ.
Схема документа, завизированного ЦП
Поле «Текст» содержит время и дату подписания бумаги, персональные данные составителя.
Алгоритм генерации ЭП под сообщением пользователя:
- M : h = h(M) – по этой формуле вычисляется хеш-сообщение;
- e = α (mod q) – определяется двоичное число;
- 0 < k < q – генерируется псевдослучайное значение, которое подходит к неравенству по условиям;
- r = xc (mod q) – рассчитывается двоичный вектор, ЭП определяется как конкатенация (объединение) пары двоичных векторов.
Алгоритмические блоки процесса генерации цифровой подписи
На выходе пользователь получает уникальный набор кодированных символов. Он и подтверждает авторство составителя и целостность документа.
Алгоритм верификации ЭП:
- По значению ζ определяют целые числа r и s. Если ЭП верна, выполняются неравенства 0 < r< q и 0 < s < q.
- Вычисляется хеш сообщения М: h = h(M).
- Определяется α – его двоичным выражением является вектор h.
Затем последовательно рассчитываются значения:
- e = α (mod q);
- v = e-1(mod q);
- z1 = sv(mod q);
- z2 = –rv(mod q).
Вычисляется точка ЭК С = z1P + z2Q и определяется значение R = xc(mod q), где xc – x – это координата точки С. Если выполняется равенство R = r, подпись считается подлинной.
Алгоритмические блоки процедуры верификации ЦП
Как ФСБ России изменила требования к электронной подписи
Все началось с того, что 31.01.2014 ФСБ РФ опубликовала письмо №149/7/1/3-58. Документ содержал два основных требования:
- прекратить сертификацию средств ЭЦП на соответствие требованиям, утвержденным приказом ФСБ РФ №796 от 27.12.2011, если они не предусматривают исполнение функций, описанных ГОСТ-2012;
- запретить применение ГОСТ-2001 для генерации ЭЦП с 31.12.2018.
Минкомсвязь РФ опубликовала разъяснение, согласно которому выпуск сертификатов ЭП на основе алгоритмов, установленных новым стандартом, для УЦ начнется с июля 2018 г. 16.08.2018 государственный орган подтвердил это решение соответствующим Уведомлением. Центры сертификации, своевременно запросившие сертификат подчиненного УЦ в Головном УЦ, смогли начать выпуск средств ЭЦП по заявлениям клиентов согласно новому стандарту.
Совещания, проведенные между работниками УЦ и представителями Минкомсвязь и ФСБ РФ, показали, что мягкий переход на актуальный ГОСТ невозможен: большинство центров сертификации, госорганов и муниципальных учреждений, кредитных организаций, подведомственных веб-сайтов, информационных систем (далее – ИС) и электронно-торговых площадок (далее – ЭТП) оказались к нему не готовы как финансово, так и технически.
Учитывая эти обстоятельства, после ряда длительных переговоров с чиновниками, сотрудниками УЦ, администраторами ИС и веб-сайтов и разработчиками криптопровайдеров, 07.09.2018 ФСБ России изменила требования к переходу на актуальный стандарт электронной подписи и выпустила письмо №149/7/6-363. Документ содержит следующие положения:
- период актуальности ГОСТ-2001 продлен до 31.12.2019;
- разработчики обязаны до конца 2018 г. продлить сертификаты ФСБ РФ на средства ЭЦП по ГОСТ-2001;
- владельцев квалифицированных сертификатов ключей проверки ЭП (далее – СКПЭП) должны уведомить о прекращении применения ГОСТ-2001 для генерации ЭП после 31.12.2019;
- действие сертификатов ФСБ РФ на средства ЭЦП по ГОСТ-2001 прекратится 01.01.2020;
- с 1 января 2019 года аккредитованным УЦ запрещено выпускать СКПЭП по ГОСТ-2001;
- при выдаче СКПЭП по ГОСТ-2001 после 30.09.2018 г. аккредитованные УЦ обязаны ограничить сроки их актуальности – до 31.12.2019;
- подключение ГОСТ-2012 к ИС, которые применяют ЭЦП, должно завершиться к 31.12.2018.
Электронная подпись: новый ГОСТ вступил в силу с 1 января 2019 года
С 1 января 2019 г. все УЦ обязаны были начать выдавать средства электронной подписи, сертифицированные согласно ГОСТ-2012. Переход на актуальный стандарт продлен до 31.12.2019 – менять в срочном порядке имеющуюся ЭЦП не нужно. Если средства ее генерации и верификации получены еще в 2018 г., скорее всего, срок действия СКПЭП истечет раньше 31.12.2019. Просто обратитесь за услугой его планового продления (перевыпуска).
Также потребуется выполнить следующие шаги:
- Подготовьте рабочее место. Обновите операционную систему (далее – ОС) Windows до версии 7 или моложе. Поддержка Windows XP прекращена.
- Купите лицензию КриптоПро CSP 4.0 и выше или обновите криптопровайдер как минимум до версии 4.0.
Примечание 1. Если вы работаете в ОС Windows Server 2003 и моложе, вы сможете воспользоваться строго серверной лицензией КриптоПро CSP.
Примечание 2. Пользователи системы ЕГАИС, применяющие усиленную КЭП на считывателях JaCarta PKI/ГОСТ SE, обязаны их сменить на носители, поддерживающие актуальный стандарт. Например, на JaCarta-2 ГОСТ или Рутокен ЭЦП 2.0.
Усиленная квалифицированная электронная подпись: законодательные изменения в 2019 году
В один непрекрасный день москвичу Роману Салтовскому позвонил престарелый отец-инвалид. Пенсионер сообщил своему сыну, что получил очередную квитанцию на оплату жилищно-коммунальных услуг – в графе «Плательщик», предназначенной для заполнения личными данными нанимателей или собственников жилья, были указаны Ф. И. О. совершенно незнакомого человека.
Элитная московская квартира в доме на Тверской улице принадлежит семье Салтовских с 1980 года. После смерти жены Салтовский-старший составил договор дарения и переоформил дорогостоящий объект на своего сына Романа, чтобы обезопасить себя от мошеннических действий «черных риелторов».
В результате по иронии судьбы жертвой сложной кибераферы стал именно Роман. Он немедленно обратился за разъяснениями в Росреестр. Согласно сведениям, находящимся в распоряжении надзорной организации, Салтовский-младший якобы сознательно подарил семейную собственность жителю Уфы, причем, без личного участия. Работники Росреестра «напомнили» Роману, что процедура оформления осуществлялась удаленно – он-де подал в инстанцию документы, завизированные электронной подписью, через интернет.
В выписке из ЕГРН, полученной Романом, значилось, что 22 октября 2018 года квартира была подарена уфимцу Илье Машкову, с которым «бывшие» собственники не то, что никогда не виделись – больше: Салтовские заявили, что слышат об этом человеке впервые. Казалось бы, вот он – мошенник, но не тут-то было.
Скромный машинист локомотива, примерный семьянин и отец двоих детей Илья Машков был шокирован происходящим не меньше Салтовских. Он заявил, что доволен своей жизнью, «однушкой» в Уфе и ни в коем случае не претендует на московские «подарки». Да, про цифровую подпись слышал, но что это такое и как ей пользоваться, представляет с трудом.
Сотрудники же Росреестра, еще раз все перепроверив, подтвердили, что сделка была проведена через их же веб-портал: якобы обе стороны представили требуемые бумаги – заверенные ЭЦП и в отсканированном виде. Квартиру переоформили буквально за пару дней.
Здесь следует сделать нотабене. Для оформления дарения жилой недвижимости к представлению в надзорный орган требуется пакет, включающий минимум документов:
- заявление от каждого из участников соглашения;
- квитанция об оплате государственной пошлины;
- бумаги, подтверждающие права собственности дарителя или дарителей, если помещение находится в совместном владении.
Для непосредственных участников эта история закончилась хеппи-эндом. Салтовские сохранили свою собственность. Роман подал в правоохранительные органы заявление с просьбой о возбуждении уголовного дела и применении последствий недействительности сделки. Илья Машков, дав все необходимые показания, вернулся в Уфу.
В объективном смысле эту концовку сложно назвать удовлетворительной. Сотрудниками правоохранительных органов было установлено, что на имя Романа Салтовского средства ЭП действительно выдавались, причем, заказывали услугу опять-таки удаленно – через портал госуслуг.
Согласно ст. 18 63-ФЗ, работники УЦ обязаны установить личность заявителя и тщательно проверить его персональные данные или, если он является законным представителем (поверенным) другого лица, получить от него соответствующее документальное подтверждение права действовать от чужого имени – доверенность. Теоретически, злоумышленники могли подделать две доверенности и получить по ним средства электронных подписей на Машкова и Салтовского.
63–ФЗ регламентирует документальный порядок подачи заявки на получение ЭП. Клиент обязан предъявить гражданский паспорт. При этом способ представления заявителем бумаг в УЦ прямо не прописан. То есть на практике сотрудник УЦ может оформить и выполнить заявку на получение ЭЦП дистанционно, и некоторые центры сертификации готовы оказывать такую «услугу» за дополнительную плату.
Вам будет интересно: Как сделать электронную подпись
Юристы компании «Гарант» считают этот нюанс лазейкой как для безответственных работников центров сертификации, желающих «повысить скорость предоставления услуги» за счет пренебрежения рисками клиентов, так и для злоумышленников.
Как выяснить, не получал ли кто-то средства ЭП на ваше имя без вашего ведома? Сделать это крайне сложно. На территории РФ действует около 500 УЦ, а единого реестра не существует. Чтобы получить достоверный ответ на поставленный выше вопрос, придется обойти их все.
Правоохранители допускают, что мог иметь место и сговор между недобросовестными работниками УЦ, каким-то образом заполучившими доступ к личной информации пострадавших. Кто именно и с какими целями совершал упомянутые действия от лиц других граждан, до сих пор осталось невыясненным.
Кейс получил огласку в СМИ и вызвал широкий общественный резонанс. Дело в том, что раньше некоторые сделки с недвижимостью разрешалось проводить дистанционно – это было полностью законно. Надзорные органы принимали соответствующие документы, завизированные электронной подписью, и оформляли сделки без личного присутствия участников.
Сотрудники Росреестра в целях безопасности неоднократно и настоятельно рекомендовали гражданам подавать заявления, например, через МФЦ, о внесении в ЕГРН записи о запрете любых манипуляций с принадлежащей им недвижимостью без их личного участия. После обращения соответствующую пометку вносили в ЕГРН в течение пяти рабочих дней.
Тем не менее, этот кейс стал отправной точкой для разработки в 2019 году дополнительных мер безопасности и внесения в законодательство РФ изменений, ограничивающих использование усиленной квалифицированной электронной подписи. Чтобы свести к минимуму риски совершения мошеннических операций, чиновники установили обратный предыдущему порядок действий при дистанционном оформлении сделок с недвижимостью.
02.08.2019 приняли 286-ФЗ, согласно которому стало невозможно удаленно подавать документы на регистрацию перехода права собственности на жилье без предварительного разрешения владельца. Закон вступил в силу 19.08.2019.
Документ фиксирует следующие правила:
- разрешение регистрационных действий на основании цифровых бумаг, визированных ЭП, должно быть документально оформлено и в заявительном порядке подано владельцем недвижимости в ЕГРН – только в этом случае в течение 5 рабочих дней в государственный реестр вносится соответствующая запись, без которой удаленное совершение сделки с 19.08.2019 становится невозможным;
- без вышеупомянутой отметки, своевременно внесенной в ЕГРН, любые документы, завизированные ЭЦП и подаваемые в электронном виде, будут возвращены заявителям без рассмотрения.
286-ФЗ предусматривает несколько исключений. Письменное согласие на совершение регистрационных действий с недвижимостью не потребуется от 4 категорий физических и юридических лиц:
- финансовых организаций, выдающих гражданам ипотечные кредиты под залог приобретаемого жилья;
- нотариусов, оформляющих сделки с недвижимостью;
- федеральных и муниципальных органов;
- граждан, которым средства ЭП выдавались непосредственно системой Росреестра.
Чтобы снять отметку о запрете на дистанционные регистрационные действия с недвижимостью, внесенную в ЕГРН до вступления в силу 286-ФЗ, следует обратиться с соответствующим заявлением в надзорный орган повторно. Данные будут изменены в течение 5 рабочих дней.