Что такое облачная электронная подпись

FAQ про облачную [электронную] подпись

Наша площадка стала первым федеральным оператором электронных торгов, внедрившим новую технологию облачной электронной подписи. Если обычная ЭП вызывала кучу вопросов, то эта услуга, с одной стороны, пока ещё больше непонятна бизнесу, а с другой — всё стало сильно проще.

— Что это такое?

Раньше была бумажная подпись на документе. Она не очень удобна, не очень безопасна и требует физического наличия бумаги. Потом появилась флешка с сертификатом и обвесом вокруг (вплоть до антивируса). Её сначала назвали ЭЦП — электронная цифровая подпись. Потом она стала просто ЭП. Теперь эту флешку положили в облако, и она стала ОЭП.

— Как работает ОЭП?

Предположим, вы подаёте свое предложение на тендер. Раньше, чтобы подписать документ, надо было поставить плагин для браузера, который умел связываться с софтом на локальном компьютере пользователя. Этот софт обращался к софту на флешке, софт на флешке выдавал ключ, этим ключом подписывалась транзакция и передавалась в готовом виде в плагин в браузер. Теперь мы вынимаем из этой цепочки флешку: софт обращается в облачное хранилище по шифрованному туннелю.

— А можно без софта на локальной машине?

Да, если на площадке есть промежуточный сервер, который фактически проксирует запросы и представляется этим самым локальным компьютером, то всё можно сделать из любого браузера. Но это требует переработки бэкенда площадки (в нашем случае мы сделали отдельный сервер для проведения торгов с мобильных телефонов). Если этот путь не работает — выбирается стандартный. Предполагается, что в будущем этот вариант будет наиболее распространённым. Как пример одной из подобных реализаций — площадка МСП «Росэлторг» (Закупки среди субъектов малого и среднего предпринимательства).

— ОЭП и ЭП — это одно и то же, но лежит в разных местах, так?

У подписей общее ядро с сертификатом и защитой. Функционально это одно и то же, просто меняется метод внутреннего API для шифрования транзакции. Один метод берёт ключ из локального устройства, другой — с удалённого.

— Погодите, но ведь всё равно нужна авторизация?

Да. Но теперь она двухфакторная и без привязки к устройству. Обычная схема: установить приложение на телефон или плагин браузера на десктоп, затем ввести логин и пароль для начала работы, потом при совершении транзакции — отправляемый с сервера авторизации ПИН-код. То есть, чтобы подписать документ за вас, нужно будет украсть пароль + логин и перехватить SMS или push-уведомление с кодом.

— В чём тогда профит?

1. Если вы потеряете флешку, то надо получать новый ключ. В случае с ОЭП — достаточно поменять пароль к подписи.
2. Нет привязки к рабочему месту: раньше ЭП ставилась на один конкретный компьютер.
3. Нет привязки к браузеру: раньше это был IE. Что вызывало ряд проблем ещё на уровне выбора ОС: Linux-админы обходили это, а вот на Mac-устройствах было сложнее.
4. Нет привязки к географии: авторизация работает из любой страны (в силу особенностей защиты ЭП на флешках часто работали только в российских сетях).
5. Предполагается, что всё стало безопаснее из-за двухфакторной идентификации по умолчанию без возможности «упростить себе жизнь».
6. Уничтожение флешки с подписью не ставит под угрозу текущие сделки.
7. В целом всё это более правильно, особенно из-за возможности быстро подписывать с мобильных телефонов.

Есть специальная железка, называется HSM (hardware security module). Технически, это хранилище, разбитое на закрытые ячейки без возможности массового доступа ко всем сразу.

Несколько упрощая: вы авторизуетесь, создаёте транзакцию, она отправляется в HSM подписываться, оттуда на выходе — защищённый объект. Закрытый ключ наружу не выдаётся.

То есть HSM выступает в роли третьей стороны, вроде нотариуса, подтверждающей в сделке, что вы — это вы. Точнее, что вы имеете право подписывать документ.

В каждом удостоверяющем центре свой HSM.

Каждое решение лицензируется ФСБ. Железка снабжена большим количеством уровней безопасности, в частности, датчиками антивзлома. Терминал физически встроен в сам сервер, никаких внешних подключений для управления не поддерживается, веб-интерфейса нет. Нужно что-то настроить — свитер, машзал, большой железный ящик с маленьким LCD-экраном.

— Как с обратной совместимостью?

Опять же, упрощая, новые версии ПО для работы с ЭП теперь умеют делать что-то вроде эмуляции этой самой флешки для всего старого софта. То есть не важно, что вы используете: токен на физическом носителе или доступ к HSM. Обновлённый софт подпишет всё, как в старые добрые времена.

— Как выглядит первое подключение?

При настройке на устройстве конечного пользователя указываются два адреса DSS-сервера. Это, собственно, вся настройка и есть. После этого нужно будет авторизоваться на сервере. Пользователь вводит уникальный логин и пароль, которые выдаются ему в удостоверяющем центре. После ввода логина и пароля нужно пройти двухфакторную авторизацию. Обычно пользователь сканирует выданный ему QR-код и устанавливает приложение. Это одно общее приложение вендора подписей, которое кастомизируется под конкретный удостоверяющий центр. Сканируется второй код со ссылкой на свою ячейку в HSM. Отправляется ПИН-код на конкретную транзакцию на телефон абонента, он его использует и подтверждает себя. После этого нужно сменить пароль доступа.

Следующие транзакции могут быть проще: ПИН отправляется push-уведомлением. Предполагается, что если телефон защищён FaceID или распознаванием отпечатка пальца, то этого второго фактора (в сочетании с вводом логина и пароля) достаточно.

Если телефон утерян, нужно проходить процедуру с QR-кодами заново.

Заблокированный телефон без ПИНа бесполезен.

ПИН без пароля-логина бесполезен.

Если вы потеряли разблокированный телефон с фотографией логина и пароля, записанных на бумажке (реальный случай в нашем УЦ), то можно запросить блокировку доступа до выяснения.

— Как получить конверт с доступами к ОЭП?

Простой случай: заявитель (гендиректор юрлица) приходит лично с паспортом в удостоверяющий центр и получает конверт.

Сложный случай: приходит сотрудник с заверенной доверенностью, соответствующей требованиям 63-ФЗ (Об электронной подписи) и требованиям службы безопасности удостоверяющего центра.

— Это уже массовое явление?

Да. За первый месяц работы УЦ «ЕЭТП» было выпущено около тысячи сертификатов по новой технологии ОЭП. Около 70 % пользователей, оформивших электронные подписи, — это юридические лица, ещё 23 % — ИП. Более 60 % пользователей новой услуги — компании из Москвы. Есть сертификаты и в Санкт-Петербурге, Новосибирске, Хабаровске, Ростове-на-Дону.

Что такое облачная электронная подпись

Бумажный документооборот уже давно не успевает за современными бизнес-процессами. Чтобы ускорить его, большинство предпринимателей в России просто сканируют подписанные бумажные акты, счета или договоры и отправляют их по email, а потом уже обмениваются оригиналами.

Но важно понимать, что такие сканы не являются юридически значимыми документами. В случае конфликтов они ничем не помогут.

Кроме того, такой способ перестает работать с большим количеством сделок с неизвестными контрагентами, документы по которым нужно закрывать быстро.

Создавать юридически значимые документы здесь и сейчас за несколько кликов позволяет электронная подпись. С ней вы можете, например, заключить договор с контрагентом из другого города за несколько минут.

В сравнении с собственноручной у нее пока еще есть некоторые ограничения, но все основные документы вы уже сможете подписать электронно: акты, счета-фактуры, договоры между контрагентами, налоговую и бухгалтерскую отчетность.

Виды электронных подписей

Бывают простые и усиленные электронные подписи. Простыми пользуемся мы все, когда получаем СМС-коды для подтверждения банковских операций или вводим логин и пароль, чтобы зайти в личный кабинет.

Такую подпись можно использовать только в той информационной системе, средствами которой она создается. И только организатор системы — например, банк или владелец информационного ресурса — может идентифицировать личность подписавшего. Средствами криптографии такая подпись не защищена.

Усиленная электронная подпись создается в результате криптопреобразования документа, подтверждает авторство и отсутствие изменений после подписания. Состоит из двух ключей (открытого и закрытого), а также сертификата, который связывает эту ключевую пару и личность подписывающего.

В отличие от собственноручной подписи, которая меняет сам документ, усиленная электронная подпись формирует новый файл, напрямую связанный с документом при помощи криптографического алгоритма. Он устанавливает соответствие между документом и сертификатом и фиксирует наличие либо отсутствие изменений после подписания.

Усиленная электронная подпись может быть квалифицированной и неквалифицированной. Технология одна и та же, но при создании квалифицированной подписи используются средства криптозащиты, сертифицированные ФСБ, что приравнивает ее к собственноручной подписи. Получить ее можно в аккредитованных удостоверяющих центрах — их сейчас много, процедура простая.

Неквалифицированная электронная подпись может быть приравнена к собственноручной по договоренности сторон и в специально предусмотренных законом случаях.

Она часто используется в кадровом документообороте или в каких-то корпоративных решениях — например, когда банк выдает клиентам собственные USB-токены для работы с интернет-банкингом. В случае с большим количеством контрагентов это выгодно, поскольку квалифицированные подписи обходятся дороже.

USB-токен или облачная электронная подпись?

Секретный ключ электронной подписи может храниться на физическом носителе (USB-токене) или в облаке. Какой вариант выбрать? Здесь уместно провести параллель с деньгами: вы можете хранить их в кошельке или сейфе, а можете на своем счете в банке.

USB-токен — тот же самый кошелек, который перекладывает на пользователя ответственность за безопасность ключа.

Не все, например, знают, что по закону USB-токен нужно постоянно хранить в сейфе. На деле же он чаще торчит в компьютере бухгалтера, которому директор делегировал подписание документов, что крайне небезопасно и нарушает закон сразу по ряду пунктов.

Кроме того, с точки зрения удобства, токены — очень недружелюбная технология, которая привязана к ПК и требует установки специального программного обеспечения — криптовайдера и плагина. Причем плагины постоянно не успевают за обновлениями версий браузеров и конфликтуют между собой.

Именно из-за сложностей использования собственники и директора часто отдают свои подписи другим сотрудникам, жертвуя безопасностью.

В то же время облачная электронная подпись не требует никакого ПО и не привязана к компьютеру, подписать документы можно за несколько секунд с любого устройства, подключенного к интернету. Достаточно знать пароль. Так у вас отпадает необходимость отдавать кому-то свой ключ.

Многие до сих пор сомневаются в безопасности облачных электронных подписей — психологически токен, который можно положить в сейф, кажется более надежным, чем все эти «новые» облачные технологии.

Однако если у вас есть счет в банке, вы уже давно пользуетесь такими технологиями. Секретные ключи облачных электронных подписей хранятся на специальных защищенных серверах — там же, где и данные банковских карт, с использованием тех же средств криптозащиты.

Думаю, появление облачных электронных подписей — это хороший трамплин для перехода на ЭДО. Как и в случае с электронными деньгами, технология объединила безопасность и комфорт, проложив дорогу к массовому потребителю.

Когда у всех будут электронные подписи?

В основе самой технологии электронных подписей — все те же криптографические алгоритмы, что и 20 лет назад. Но сегодня их уже умеют упаковывать в интуитивно понятные интерфейсы и упрощать до паттернов поведения современных пользователей.

Если раньше электронная подпись представляла из себя нечитаемый файл с расширением sig, который лежал в ZIP-архиве и проверялся либо в специальном ПО, либо на доверенных сервисах, то сегодня подписи могут храниться внутри PDF-документов, отображаться в человекочитаемом виде на любом устройстве и легко проверяться в самой программе Acrobat Reader.

Кроме того, за последние годы увеличилось число удостоверяющих центров, появились облачные электронные подписи и удобные приложения для работы с документами. Больше не нужно привязываться к токенам или ПК, ставить свои подписи можно с любого устройства в пару кликов. У нас, например, есть Telegram-бот, который умеет подписывать документы прямо в мессенджере. Так что все предпосылки для перехода на ЭДО есть.

Но по аналогии с банковскими картами, электронным подписям еще понадобится время для проникновения в сознание людей.

Пока процент низкий, преимуществ меньше.

Особенность использования электронных подписей в большом сетевом эффекте — чем больше участников в системе, тем больше выгод все получают.

Однако не стоит ориентироваться на своих контрагентов. Даже если они пока не используют электронные подписи, современные системы ЭДО умеют подписывать документы и отправить их по электронной почте.

Закон не запрещает подписать документ электронной подписью с одной стороны, а с другой — собственноручной. Можно рассматривать такое решение как временный компромисс.

Как получить максимум

Несколько ключевых рекомендаций по работе с электронными подписями:

1. Выясните, для каких целей вам нужна электронная подпись, какие документы вы будете ей подписывать и с кем ими обмениваться: внутри компании, между контрагентами или с государственными организациями. Полноценный аналог собственноручной подписи — усиленная квалифицированная электронная подпись.
2. Не останавливайтесь на привычном USB-токене, оцените преимущества облачной электронной подписи — вы сможете подписывать документы в пару кликов с любого устройства, а ключ будет защищен так же надежно, как и деньги на банковском счете.
3. Электронные подписи есть практически у всех, чтобы сдавать отчетность. Но даже если ваши контрагенты ими не пользуются, это не проблема. Закон не запрещает подписывать документ электронной подписью с одной стороны, а с другой — собственноручной.
4. Никогда не отдавайте никому ключ от своей электронной подписи. Если есть необходимость делегировать подписание каких-то документов бухгалтеру или другому специалисту, оформите на него доверенность с необходимыми полномочиями и выпустите электронную подпись непосредственно на имя специалиста.

Dig(IT)al. Цифровой гайд для тех, кто устал делать по-старому.

Как настроить облачную ЭЦП?

Облачная электронная цифровая подпись (ЭЦП) обладает всеми свойствами обычной ЭЦП на цифровом носителе. Различие заключается в том, что она хранится на защищенном сервере, и воспользоваться подписью можно при наличии сети Интернет. Что касается сферы применения облачной ЭЦП, — она может применяться везде, где это требуется.

В данной статье будет рассмотрен процесс настройки облачной ЭЦП для регистрации кассы в ФНС.

Как работает

Чтобы получить и настроить облачную ЭЦП необходимо пройти несколько этапов:

1. Установка приложения «MyDSS»;

1. Скачайте и установите на смартфон приложение MyDSS (из Google Play либо App Store);

2. Откройте приложение, перейдите в меню и выберите Управление ключами ;

3. Нажмите кнопку Сканировать ;

4. Отсканируйте QR-код, из письма пришедшего на электронную почту;

⚡ Если письма с QR-кодом и паролем нет — запросите его, написав на почту ecp@litebox.ru. QR-код может быть отсканирован только с одного устройства,на котором в дальнейшем будут подтверждаться операции!

5. В открывшемся окне укажите наименование ключа и нажмите кнопку Продолжить ;

6. Нажмите Сохранить без пароля . Ключ успешно добавлен!

7. Для дальнейшего подтверждения операций откройте меню и выберите Подтвердить операции . Приложение настроено!

2. Установка «КриптоПро»;

1. Заполните форму регистрации и нажмите кнопку Регистрация ;

2. Ознакомьтесь с лицензионным соглашением и нажмите кнопку Я согласен с лицензионным соглашением. Перейти к загрузке ;

3. На странице загрузки файлов в разделе Сертифицированные версии выберите «КриптоПро CSP 5.0» для ОС вашего компьютера;

⚡ Электронная подпись можно использовать только на ОС Windows либо MacOS!

4. После окончания загрузки запустите скаченный файл и установите программу. Готово!

3. Установка утилит и плагинов;

1. Откройте в Internet Explorer ссылку и нажмите кнопку Скачать Диаг.Плагин ;

2. После окончания загрузки запустите скаченный файл и установите плагин;

⚡ Перед установкой плагина рекомендуется закрыть все работающие приложения!

3. Откройте ссылку в Internet Explorer и нажмите кнопку Начать диагностику ;

4. Начнется диагностика компьютера на наличие всех компонентов для работы с электронной подписью. После ее завершения нажмите кнопку Выполнить рекомендуемые действия ;

5. В появившемся списке дополнительно ничего выбирать не нужно. Необходимые для работы компоненты установятся автоматически. Нажмите кнопку Начать установку и настройку ;

6. Во время установки браузер на компьютере будет запрашивать разрешения на установку расширений, а система на компьютере разрешение на установку программ. На все запросы системы необходимо отвечать удовлетворительно. По завершении автоматической настройки, закройте вкладку браузера с диагностикой. Компьютер настроен для использование электронной подписи!

4. Установка сертификата;

1. Запустите приложение Инструменты КриптоПро ;

2. Откройте раздел Облачный провайдер ;

3. Укажите следующие настройки:

• Сервер авторизации — https://dss.e-signature.pro/STS/oauth
• Сервер DSS — https://dss.e-signature.pro/SignServer/rest

4. Нажмите кнопку Установить сертификаты ;

5. В открывшемся окне укажите логин (в формате ХХХ-ХХХ-ХХХ-ХХ), который придет ответным письмом на почту и нажмите кнопку Далее ;

6. Укажите пароль, отправленный на почту вместе с QR-кодом и включите настройку Запомнить пароль ;

7. Нажмите кнопку Войти ;

8. Откройте на смартфоне приложение «MyDSS» и подтвердите пришедший запрос на подтверждение, нажав кнопку Подтвердить ;

9. Нажмите Завершить . Сертификат успешно установлен в реестр!

⚡ При перезапуске компьютера необходимо будет повторно установить сертификат!

Облачная электронная подпись: что это такое и как ей пользоваться?

Появление электронных подписей позволило оптимизировать многие бизнес-процессы и работу компаний. Информация о пользователе, записанная на USB-носитель сделала электронный документооборот быстрым и удобным.

Ею пользуются не только ИП и ООО, но и физлица, например, для входа на «Госуслуги» или сайт ИФНС, чтобы получить услугу государственных учреждений.

На смену ставшей привычной ЭП, пришла облачная электронная подпись (ОЭП), которая не требует записи ключа и сертификата на носитель (рутокен), и нет привязки к рабочему месту. Не все еще знают, что это такое, как ей пользоваться, и какие преимущества она дает.

Ввиду того, что нашими читателями, в основном, являются участники и организаторы торгов, рассмотрим этот вопрос с точки зрения участия в тендерах, и какие в этом плюсы. Дадим инструкцию по установке необходимых программ и приложений для компьютера и телефона, чтобы можно было подписывать документы облачной ЭП.

Как стали использовать облачные электронные подписи (ОЭП)?

Использование электронных подписей прочно вошло во многие сферы нашей жизни. В различных компаниях сотрудников переводят на электронный документооборот (ЭДО), что делает все процессы удобными и быстрыми. Для подписания документов (договоров, актов, ведомостей, бухгалтерских отчетов и т.д.) требуется наличие электронной подписи. С помощью нее также осуществляется вход в личный кабинет пользователя ЭДО.

В своей работе применяют ЭП онлайн-специалисты и фрилансеры, которые ведут свою деятельность легально и заключают договора с заказчиками. Физические лица могут приобрести ЭП и пользоваться услугами государственных учреждений: записываться на прием в ФНС, к врачу районной больницы, подавать заявления, справки, заходить на «Госуслуги».

Наши читатели – это, в основном, участники торгов и заказчики, которые такие торги организовывают. Они тоже пользуются ЭП для входа в личный кабинет ЕИС, на электронную торговую площадку, при непосредственном участии в торгах.

Мы уже привыкли к электронной цифровой подписи (ЭЦП), которая записана на рутокен (флеш-накопитель), принадлежит одному конкретному владельцу и обеспечивает безопасность данных о нем. Сегодня аббревиатура ЭЦП уже не используется, так говорить неправильно. В обиход вошло новое сокращение – ЭП (электронная подпись). По своей сути, ЭЦП и ЭП – это одно и то же, однако в статье будем использовать новое общепринятое сокращение – ЭП.

На смену понятию электронной подписи, записанной на цифровой носитель, пришло понятие облачной электронной подписи (ОЭП), которая реализована с помощью современных технологий. Она не требует записи сертификата и ключа на какой-либо носитель, а хранится на специальном облаке, в связи с чем у пользователей возникает вопрос о ее надежности. В статье максимально подробно постараемся на него ответить.

Для ЭП на носителе необходима установка специальных программ на компьютер пользователя (СКЗИ) и дополнительных надстроек. В связи с тем, что на смену таким приложениям пришли облачные приложения, у IT-разработчиков появилось желание внедрить их в работу с ОЭП.

Не все до конца понимают, что такое «электронная подпись в облаке», а те понятия, которые даются на различных сайтах в интернете или на youtube-каналах блогеров, подходят для новичков и объяснению «на пальцах». С одной стороны, это хорошо, так как пользователь ЭП не должен иметь образование программиста и вникать в тонкости шифрования информации. Он просто подписывает документ, а как это происходит, как генерируется каждый отдельный код при подписании, интересно далеко не всем.

Что же такое ОЭП с научной точки зрения, расскажем ниже. Любознательным читателям это определение, а также весь материал данной статьи пригодится для расширения собственного кругозора.

Что такое квалифицированная ОЭП?

На сайте компании «КриптоПро», которая занимается разработкой и внедрением программ и приложений для работы с ЭП дается формулировка ОЭП, которая, по нашему мнению, наиболее соответствует действительности:

«Электронная подпись в облаке (облачная электронная подпись) – это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем».

Эта формулировка не исключает возможности для ОЭП использовать и локальное средство ЭП. Например, используя КриптоПро DSS Lite, пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его компьютер или планшет. В этом случае ключ подписи остается у пользователя, и защищенность сведений обеспечивается за счет стандартных методов, которые объединены в привычную нам ЭП. Или, проще говоря, это облачная ЭП с локальным средством ЭП.

Другой вариант облачной ЭП получается при использовании средства ЭП, хранящегося на облаке. Чтобы не путать это понятие с первым, назовем такую цепочку «полностью облачной ЭП». В среде специалистов до сих пор не утихают споры по поводу ее безопасности, так как информация передается на облако. Известно, что ЭП должна принадлежать одному собственнику. Записанную на носитель подпись владелец может хранить, например, в сейфе, чтобы ограничить доступ к ней третьих лиц. А как обеспечивается безопасность на облаке? Могут ли его взломать мошенники? Как сами разработчики гарантируют конфиденциальность информации, размещенной на облаке, и имеют ли сами доступ к ней?

Вопросами защищенности облака занимаются «безопасники» и консультирующие их юристы. Сведения должны не просто попасть на облако, но и быть обработаны и сохранены. С локальным средством все понятно: ЭП находится в защищенном пространстве пользователя. Но для облачной ЭП такое пространство отсутствует. При этом ответственность за обеспечение конфиденциальности данных в каком-то смысле «размывается» между её собственником и поставщиком облачных услуг.

Некоторые пользователи не доверяют надежности облака, так как не до конца понимают механизмы его действия. На облако передается ключ ЭП, а это информация, которая конфиденциальна и принадлежит конкретному человеку – собственнику. Защищенность ключа зависит от уровня безопасности средств, которые используются при аутентификации, и от ответственности владельца.

Разработчики КриптоПРО внедрили программу КриптоПро DSS, которая в тестовом режиме испытывалась экспертами. В этот сервер передаются ключи и сертификаты пользователей, а чтобы получить к ним доступ, необходимо пройти аутентификацию, которая возможна только для одного лица – владельца.

Как работает ОЭП?

Рассмотрим пример, характерный для участников торгов. Допустим, поставщик направляет свое предложение на участие в тендере. До появления ОЭП подписать документ невозможно было без установленного на компьютер пользователя плагина. Этот плагин и софт локального средства сообщались друг с другом и работали в неразрывной связке. Этот софт подключался к софту на USB-токене, который генерировал код (ключ). С помощью ключа транзакция заверялась и уже подписанная переходила в плагин на браузер.

Теперь вытащим из этой схемы флеш-накопитель: софт подключается к облачному хранилищу по защищенному каналу.

Одной из первых площадок, которая оценила возможности новых технологий и внедрила в свои процессы использование облачной ЭП, стала федеральная торговая площадка «Росэлторг».

Ответы на самые распространенные вопросы

А можно без софта на локальном компьютере?

Да, это возможно, если на ЭТП есть дополнительный сервер, который обрабатывает входящую информацию и выступает в роли этого самого локального средства. В этом случае пользователь может использовать любой браузер.

В чем отличие стандартной ЭП от облачной?

Оба эти варианта имеют общее ядро с сертификатом и уровнем безопасности. По своей сути, они аналогичны, просто меняется схема внутреннего API-шифрования при кодировке информации. В первом случае ключ извлекается из локального средства, а во втором – с виртуального (удаленного).

Для использования облачной ЭП тоже нужна авторизация?

Да. Однако теперь авторизация имеет два уровня защиты, и нет привязки к компьютеру. При этом авторизация для пользователя не вызовет никаких сложностей:

1. Скачать приложение на смартфон или плагин браузера на компьютер.
2. Вставить логин и пароль в окно.
3. Ввести пин-код, который пришлет система.

Таким образом, злоумышленникам трудно будет украсть Вашу подпись, так как для этого они должны еще иметь доступ к Вашему телефону или электронной почте, на которые придет СМС или письмо с паролем.

Где хранится сертификат на стороне удостоверяющего центра?

Каждый удостоверяющий центр имеет свое хранилище, которое называется HSM (hardware security module). Оно имеет защищенное пространство, которое поделено на закрытые ячейки. Массовый доступ к ним запрещен.

Проще говоря, пользователь авторизовался, создал запрос на формирование подписи, запрос попадает в HSM на подпись. Шифр подписи генерируется каждый раз при подписании нового документа. Поэтому электронная подпись – это защищенный объект, а ключ не доступен к просмотру.

HSM подтверждает право владельца подписать форму, как нотариус при сделке подтверждает, что вы – это действительно вы.

УЦ получают лицензию от ФСБ на право использования этого хранилища. HSM имеет многофакторную защиту и снабжено антивзломочными датчиками.

Как выглядит первое подключение?

Сначала нужно произвести нехитрую настойку на устройстве пользователя. Для этого вводится два адреса DSS-системы. В принципе, на этом настройка заканчивается.

Следующий этап – это авторизация на сервере. Собственник ОЭП указывает в полях персональные логин и пароль, которые он получил в удостоверяющем центре. После этого проходит двухэтапную авторизацию. Чаще всего, необходимо считать полученный QR-код и скачать.

Потом сканируется второй код со ссылкой на свою ячейку в HSM. Пользователь получает пин-код на подтверждение операции на свой телефон, идентифицируя себя. Затем нужно сменить пароль для входа.

Последующие операции происходят быстрее: ПИН отправляется push-уведомлением. Подразумевается, что если мобильное устройство защищено FaceID или считыванием отпечатка пальца, то второго уровня авторизации, совместно с указанием логина и пароля, вполне хватает для обеспечения конфиденциальности.

• при потере телефона нужно повторить цепочку с QR-кодами снова;
• заблокированный телефон без пин-кода бесполезен;
• пин-код без логина и пароля бесполезен.

Если клиент потерял «незапароленный» телефон, на котором хранилась фотография с логином и паролем (реальный случай из жизни), он может обратиться в УЦ и попросить заблокировать доступ до выяснения.

Как получить конверт с доступами к ОЭП?

Конверт может получить заявитель (директор организации, должностное лицо, ответственный сотрудник), явившись лично в удостоверяющий центр с паспортом.

Либо может прийти сотрудник с официальной доверенностью, соответствующей требованиям 63-ФЗ (об электронной подписи) и требованиям службы безопасности УЦ.

ОЭП широко используется, или пока это редкость?

Использование ОЭП – это уже массовое явление сегодня. Тысячи клиентов из разных субъектов РФ применяют в своей работе электронную подпись на облаке. Из них большинство пользователей – это юридические лица, на втором месте по популярности использования – ИП. Большинство клиентов – москвичи. Затем идут граждане из Санкт-Петербурга, Новосибирска, Хабаровска, Ростова-на-Дону.

Как установить ОЭП и начать работать?

Для работы на локальном компьютере потребуется:

• Скачать СКЗИ КриптоПро CSP версии 5.0.
• ОС Windows 7/8.1/10/Server 2008 (x86, x64).
• Серверные ОС Windows Server 2008 R2/2012/2012 R2/2016/2019 (x64).
• Mac OS X 10.9/10.10/10.11/10.12/10.13/10.14 (x64).

Чтобы пользоваться ОЭП на мобильном устройстве, оно должно работать на базе операционных систем не ниже Android 7.0 или iOS 8/9/10/11. Кроме этого, нужно установить приложение MyDss

Установка и настройка на смартфоне приложения MyDss

1. Зайдите в приложение Play Market или Apple Store (зависит от устройства, которое Вы используете).
2. В поисковую строку вбейте «MyDss» и запустите установку приложения.
3. После завершения скачивания нажмите кнопку «Открыть».

4. Для начала работы система уведомит вас о необходимости сканирования QR-кода. Предоставьте камере доступ к этому действию.

5. Считайте QR-код с сертификата, который получили в УЦ.

6. Придумайте имя для сохраняемого ключа, например, «ОЭП для торгов».

7. Выберите способ авторизации (с паролем, без пароля, отпечаток пальца, Face ID).

8. Программа готова к использованию.

Установка СКЗИ КриптоПро CSP 5

Чтобы пользоваться облачной ЭП потребуется наличие операционной системы Windows 7, 8, 8.1 или 10. Проверьте, что Ваша ОС подходит для работы с ОЭП. Для этого откройте «Центр обновлений Windows» и запустите поиск и обновления компонентов Windows.

Для работы с облачной подписью обязательно нужно скачать и настроить программу КриптоПро CSP 5.0.

1. Установите актуальную версию программы КриптоПро CSP 5.0 с официального сайта создателя приложения.
2. Откройте скачанный пакет CSPSetup-5.0.exe и нажмите клавишу «Установить».
3. Скачайте корневой сертификат Минкомсвязи РФ и сохраните его в «Доверенные корневые центры сертификации».
4. Установить корневой сертификат вашего УЦ в «Промежуточные центры сертификации».

Настройка КриптоПро CSP 5.0

1. Нажмите «Пуск» в ОС Windows и найдите папку «Крипто-Про».
2. Выберите пункт «Инструменты Крипто-Про».

3. Перейдите в раздел «Облачный провайдер».

Замена адреса DSS-системы

1. Поменяйте адрес в строке «Сервер авторизации» на адрес Вашей системы DSS (его можно узнать в своем УЦ).
2. В строке «Сервер DSS» также измените адрес на информацию, полученную в УЦ.
3. Нажмите «Установить сертификаты».

4. Вбейте логин и нажмите «Далее».

5. При первом запуске программы система предложит придумать новый пароль для доступа в личный кабинет. Для этого укажите старый пароль, а ниже – новый пароль, затем подтвердите его. При повторном запуске изменять пароль не нужно.

Аутентификация в приложении myDSS

Следующим шагом потребуется выполнить аутентификацию. Действие выполняется в приложении MyDss c мобильного устройства.

1. Откройте приложение MyDss на смартфоне.
2. Подтвердите действие по запросу системы.
3. Если нет возможности подключиться к интернету, то нажмите строку «Используйте офлайн-подтверждение».
4. Отсканируйте QR-код и укажите его на компьютере.

Если Вы выполнили все действия правильно, то система уведомит об успешности процедуры. На экране появится надпись «Установка сертификатов завершилась успехом».