Передача данных по каналам связи (например, посредством сети Интернет) предусматривает их защиту от краж и подделок. Один из методов, обеспечивающих защиту информации и безопасность обмена файлами — ассиметричное шифрование. На нем базируется принцип создания электронной подписи (далее — ЭЦП, ЭП или ЦП).
Как работает ассиметричное шифрование? Надежный криптографический метод придумали Уитфилд Диффи и Мартин Хеллман. Он называется протоколом Диффи-Хеллмана (по фамилиям его создателей), основан на обмене открытым ключом — односторонней функцией. Это математическая формула (например, модульная), после применения которой невозможно получить исходную переменную (закрытый ключ).
Проще всего понять, как работает этот метод... на банке с красками. Представьте, что у вас есть банка с красной краской (модульная формула) и краска (предположим, желтая), ее цвет известен только вам (закрытый ключ). У получателя сообщения и/или документа тоже есть краска «секретного» цвета (допустим, синяя).
Сначала вы сообщаете коммуниканту, что будете использовать банку с красной краской (свой открытый ключ). Он принимает условия, соглашается использовать такую же (дубликат) и добавляет свою «секретную» краску (свой закрытый ключ). Вы, в свою очередь, добавляете в нее свою «секретную» краску. После этого вы обмениваетесь банками с новыми (получившимися за счет смешения) красками: причем, вы принимаете сочетание красного и синего цвета, а ваш коммуникант — красного и желтого.
Если каждый из вас еще раз добавит в переданную коммуникантом банку свою «секретную» краску, вы оба получите один и тот же цвет: сочетание красного, синего и желтого. Так (по совпадению общего конечного результата) вы сможете проверить подлинность отправленных/принятых данных и честность при использовании одного и того же открытого ключа (исходной банки с краской красного цвета).
Закрытый и открытый ключи (переменная и формула, в которую она вставляется) генерируются сертифицированными программными средствами шифрования и работают парой — процесс осуществляется автоматически. Манипуляции с ЭЦП регламентируются ФЗ № 63 от 06.04.2011 г. об электронной цифровой подписи.
63-ФЗ об электронной подписи: статьи
Деловой электронный документооборот (далее — ЭДО) и переход на дистанционное представление бухотчетности в надзорные госорганы — Федеральную налоговую службу РФ (далее — ФНС РФ), Фонд социального страхования (далее — ФСС) и Пенсионный фонд России (далее — ПФР) требуют четкого правового регулирования. Правила использования ЦП подробно изложены в статьях 63-ФЗ об электронной подписи.
Рассмотрим их подробней:
- 1—4 посвящены разъяснениям терминологии, областей применения инструмента, принципов его использования;
- 5 перечисляет и описывает виды ЭЦП, подпадающие под действие правовой нормы;
- 6 поясняет установленные законодателем условия признания цифрового документа равнозначным бумаге, которая скреплена ручной подписью составителя;
- 7 содержит правила признания ЭП, сгенерированных согласно зарубежным правовым нормам и/или по международным стандартам;
- 8 перечисляет полномочия госорганов;
- 9 определяет правила использования простой ЭП;
- 10 описывает обязанности участников ЭДО;
- 11 перечисляет условия признания квалифицированной ЭП (далее — КЭП) действительной;
- 12 регламентирует требования к средствам ЦП;
- 13—16 посвящены определению и государственной аккредитации Удостоверяющего центра (далее — УЦ), методам его работы;
- в 17—18 говорится о квалифицированных сертификатах (открытых) ключей проверки ЦП, об условиях их выдачи заявителям.
В 19 и 20 статьях упомянутого закона вы найдете заключительные положения. Одно из них гласит, что 1-ФЗ от 01.01.2002 г. утратил силу с 01.07.2003 г.
ФЗ об электронной цифровой подписи: терминология
Законодатель оперирует рядом сложных терминов. Их разъяснению посвящена ст. 2. ФЗ об электронной цифровой подписи. Основные понятия, раскрытые в тексте правовой нормы, также перечислены и подробно описаны ниже.
Электронная подпись — документальный реквизит, полученный в результате математических (криптографических) модификаций небольшого объема данных, жестко привязанных к конкретному документу. Позволяет проверить 3 его главных свойства:
- целостность — отсутствие изменений, поправок и/или фальсификаций с момента формирования и добавления ЦП;
- неотказуемость — факт подписания документа ЦП, принадлежащей конкретному лицу;
- авторство.
Сертификат (открытого) ключа проверки ЭП (далее — СКПЭП) (обычный) — цифровой или бумажный документ, выданный УЦ. Подтверждает подлинность и легитимность инструмента.
Квалифицированный СКПЭП предоставляется только аккредитованным государственным органом УЦ и содержит:
- уникальный номер;
- открытый ключ;
- сведения о держателе: для физ. лица — Ф. И. О./СНИЛС, для ИП/ЮЛ — наименование, юридический адрес, ИНН, ОГРН уполномоченного лица компании;
- сферы применения ЦП;
- период действия сертификата;
- данные об УЦ (наименование, физический адрес), номер его квалифицированного сертификата;
наименование средств ЭП и УЦ.
Квалифицированный СКПЭП действителен, как правило, в течение 12 месяцев.
Ключ проверки ЭП (открытый) — уникальная символьная математическая формула. Используется для защиты канала связи (передачи информационных пакетов) между отправителем документа (его составителем/владельцем) и принимающей стороной (например, ФНС РФ):
- для кодирования данных перед отправкой по общему каналу связи;
- для аутентификации (ревизии подлинности) ЦП составителя.
Ключ ЭП (закрытый) — уникальная символьная математическая последовательность. Используется для генерации ЦП и полной расшифровки сообщений/документов.
УЦ — ЮЛ/ИП, информационный посредник, подтверждающий подлинность открытых/закрытых ключей шифрования. Создает и выдает СКПЭП, аппаратные и программные криптографические средства для их формирования.
Аккредитация УЦ — признание государственным органом его соответствия требованиям 63-ФЗ.
ФЗ № 63 об ЭЦП: виды цифровых подписей
Вариаций ЭП, получивших определения в тексте ФЗ № 63 об ЭЦП, три: простая, неквалифицированная (далее — НЭП), квалифицированная(далее — КЭП) — последние две считаются усиленными.
Простая создается путем криптографической модификации данных открытым ключом. С ее помощью можно установить составителя/владельца документа. Ее относительно легко украсть или подделать. Для онлайн-обмена документами, которые содержат коммерческую или государственную тайны, она не годится. Примером простой ЭП является пароль для входа на сайт или код, присланный в SMS-сообщении для подтверждения авторизации на интернет-портале.
Усиленная НЭП создается средствами шифрования обычного УЦ. На сегодняшний день утратила свою актуальность. Все еще используется в корпоративном ЭДО между организациями, заключившими дополнительное соглашение. Оно должно содержать обоюдное признание передаваемых документов, завизированных НЭП, юридически значимыми и равными бумагам, скрепленным ручной подписью.
Усиленная КЭП для ИП/ЮЛ (и при необходимости физ. лица) создается средствами только аккредитованного УЦ. Выдается им же. Необходима для дистанционного получения ИП/ЮЛ полного перечня государственных услуг через сайт gosuslugi.ru, работы на множестве других порталов (cм. ниже полный перечень), представления бухгалтерской отчетности в цифровом формате и другого (подробнее в следующем разделе этой статьи).
Закон об электронной подписи 63-ФЗ: области применения
Использование ЭП практикуется в разных областях коммерческой (и не только) деятельности. При дистанционном обмене данными ее могут применять физические лица, индивидуальные предприниматели (далее — ИП) и юридические лица (далее — ЮЛ).
Таблица № 1 – Применение ЭЦП
Области | Типы | |||
Простая | Неквалифицированная | Квалифицированная | ||
Документооборот ЮЛ/ИП | Внутренний | + (только при условии соответствующего дополнительного соглашения) | + | |
Внешний | ||||
Обращение в арбитраж и участие в судебных разбирательствах | ||||
ЭДО между ЮЛ/ИП и физическими лицами | ||||
Получение госуслуг через портал gosuslugi.ru | + (только для физ. лиц) | – | + (для ИП/ЮЛ и физ. лиц) | |
Участие в онлайн-торгах: государственных тендерах, аукционах | – | |||
Представление отчетности в ФНС РФ, ФСС, ПФР |
ЭДО — основная сфера применения ЭП. Она может использоваться как аналог ручной и/или штампа на бумажном носителе. Получила распространение в системах ЭДО и обмена данными самого разного назначения:
- внешнем/внутреннем;
- управленческом/распорядительным (например, ставится на приказах, выпускаемых руководителем предприятия и т. п.);
- кадровом (используется на приказах, связанных с увольнением, наймом новых сотрудников и пр.);
- законотворческим;
- промышленно-торговым.
Как это работает? Во внутреннем ЭДО ЭП применяется в качестве инструмента визирования цифровых документов, составленных для фиксации, систематизации и автоматизации организационных процессов. Пример — договор или приказ, подписанный ЭП руководителя. Он считается утвержденным и передается в исполнение.
Применение ЭП в межкорпоративном (B2B) внешнем документообороте приобрело критически важное значение. Наличие криптозащиты документа является гарантом его подлинности и юридической силы:
- только такая бумага может приниматься и рассматриваться, например, рядом судебных инстанций;
- сроки хранения документа, скрепленного ЭП, в электронном архиве при сохранении его легитимности (при условии его юридической силы) могут быть не ограничены.
Представление отчетности в надзорные органы (ФНС РФ, ФСС, ПФР) и ее прием сотрудниками инстанций «на бумаге» практически упразднены. Большая часть отчетов подается через интернет только в цифровом формате (например, декларация по НДС). Во избежание подделок и фальсификаций руководитель и/или уполномоченное лицо компании обязаны скреплять их КЭП.
КЭП потребуется ИП/ЮЛ, чтобы дистанционно воспользоваться государственными услугами через портал gosuslugi.ru и работать в системах ЭДО.
Онлайн-торги (тендеры, аукционы) — еще одна сфера применения инструмента. Проводятся они на предназначенных для этого интернет-площадках. КЭП потребуется как поставщику, так и заказчику, чтобы подтвердить серьезность намерений и гарантировать второй стороне состоятельность и достоверность предложения.
Согласно Закону об электронной подписи 63-ФЗ, контрактная система изменила правила ЭДО. Если раньше допускалось применение НЭП, то с 11.07.2018 г. допускается использование только КЭП. Правило распространяется на:
- реестр контрактов (и их копии), его записи;
- банковские гарантии;
- документы, используемые в обороте региональных и муниципальных информационных систем;элементы ЭДО Единой информационной системы в сфере закупок (ЕИС).
Если между владельцами коммерческих предприятий возник спор, арбитражный суд примет онлайн-обращения (ходатайства) как аналог письменных доказательств. Они должны быть завизированы ЦП.
ЭДО между ИП/ЮЛ и физическими лицами практикуется редко, но актуальные тенденции постепенно набирают обороты.
Вам будет интересно: Как подписать документ электронной подписью
Закон об ЭЦП 63-ФЗ: средства ЭП
Под средствами Закон 63-ФЗ об ЭЦП «понимает» криптографические (шифровальные) инструменты, которые применяются для реализации как минимум одной из 4 функций. К ним относят создание ЦП, ее ревизию, формирование ключей: закрытого — для полной расшифровки документа и генерации ЭП и открытого — для ее проверки и передачи данных по общим каналам связи.
Также в средства ЭП входят ГОСТ Р 34.10-2012 от 07.08.2012 Г. (сменил ГОСТ Р 34.10-2001, запрещенный к применению с 01.01.2019 г.), криптографические программные комплексы КриптоПро CSP, КриптоАРМ, набор клиентских модулей TrustedNet.
Под средствами УЦ составители 63-ФЗ об ЭЦП подразумевают аппаратно-программные инструменты, реализующие его основные функции:
- СКПЭП;
- закрытые ключи;
- алгоритмы шифрования;
- носители, содержащие упомянутые инструменты и данные.
Аппаратные средства УЦ:
- обычные USB-накопители — больше не используются по причине уязвимости;
- USB-носители с защищенным хранилищем данных — внутренняя память разбита на разделы, доступ к области, содержащей ЦП, защищена паролем;
- USB-токены с встроенным криптопроцессором (называются «Рутокен 1.0») — имеют серьезный недостаток: закрытый ключ, используемый при установке сертификата в операционную систему, можно украсть с жесткого диска;
- USB-токены с встроенным криптопроцессором и функцией генерации ЭП (именуются как «Рутокен 2.0») — область с закрытым ключом (украсть его невозможно) защищена секретным кодом, который хранится только у владельца инструмента. Считаются самым совершенным вариантом аппаратных средств, используются аккредитованными УЦ.
Обязанности и функции УЦ
Согласно Федеральному закону 63-ФЗ об электронной подписи, СКПЭП должны выдаваться УЦ. Заявителю также должны предоставляться средства для формирования ЦП: аппаратное — USB-токен, программное — встроенная в него функция генерации открытого ключа (формулы) и записанный на него закрытый ключ. Доступ к последнему возможен после использования секретного кода, известного только держателю инструмента (при условии, что УЦ аккредитован госорганом и использует современный вид аппаратных средств).
УЦ, подтвердивший соответствие требованиям Закона о цифровой подписи 63-ФЗ в Минкомсвязи, получает государственную аккредитацию. Он вправе предоставлять квалифицированные СКПЭП (перечень аккредитованных УЦ). На него ложатся дополнительные обязанности:
- помимо разработки и выдачи сертификатов, определение периода их действия;
- аннулирование ранее выданных им же СКПЭП;
- выдача новых ЦП при обращении заявителя из-за их утраты или порчи;
- ведение реестра выданных и аннулированных СКПЭП;
- ревизия СКПЭП по обращению клиентов/заявителей и другое.
Кроме того, УЦ обязан:
- уведомлять заявителя о правилах и порядке применения ЦП;
- предупреждать о возможных рисках;
- разъяснять меры безопасности для их снижения;
- предоставлять информацию, которую содержит реестр сертификатов;
- хранить в тайне данные о закрытых ключах, не передавать их третьим лицам.
Нарушение УЦ требований, установленных законодательством РФ, влечет административную ответственность. Если другим лицам был нанесен вред, посреднику грозит: прекращение аккредитации, материальное возмещение убытков, понесенных пострадавшими вследствие утраты контроля над ЭП и средствами ее создания и ревизии.