Электронная подпись на планшете чем регламентируется

Виды электронной подписи (ЭП или ЭЦП)

В России в электронном документообороте можно использовать три вида подписи: простую, усиленную неквалифицированную и усиленную квалифицированную. Посмотрим, чем они отличаются друг от друга, при каких условиях равнозначны собственноручной и придают подписанным файлам юридическую силу.

Виды электронной подписи

Простая электронная подпись, или ПЭП

Простая подпись — это знакомые всем коды доступа из СМС, коды на скретч-картах, пары “логин-пароль” в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.

Где используется простая электронная подпись?

Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг, для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).

Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.

Юридическая сила ПЭП

Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:

• правила, по которым подписанта определяют по его простой электронной подписи.
• обязанность пользователя соблюдать конфиденциальность закрытой части ключа ПЭП (например, пароля в паре “логин-пароль” или СМС-кода, присланного на телефон).

Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.

Неквалифицированная электронная подпись, или НЭП

Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.

Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.

Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.

То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.

Где используется неквалифицированная электронная подпись?

НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.

Юридическая сила НЭП

Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.

Квалифицированная электронная подпись или КЭП

Усиленная квалифицированная электронная подпись — самый регламентированный государством вид подписи. Так же, как и НЭП, она создается с помощью криптографических алгоритмов и базируется на инфраструктуре открытых ключей, но отличается от НЭП в следующем:

• Обязательно имеет квалифицированный сертификат в бумажном или электронном виде, структура которого определена приказом ФСБ России № 795 от 27.12.2011.
• Программное обеспечение для работы с КЭП сертифицировано ФСБ России.
• Выдавать КЭП может только удостоверяющий центр, который аккредитован Минкомсвязи России.

Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников и руководителей, торгов, отчетности и личных дел.

Где используется квалифицированная электронная подпись?

КЭП нужна, чтобы сдавать отчетность в контролирующие органы, участвовать в качестве поставщика и заказчика в электронных торгах, работать с государственными информационными системами, обмениваться формализованными документами с ФНС, вести электронный документооборот внутри компании или с ее внешними контрагентами.

Юридическая сила КЭП

КЭП — это подпись, которая придает документам юридическую силу без дополнительных условий. Если организации ведут ЭДО, подписывая документы КЭП, их юридическая сила признается автоматически согласно федеральному закону № 63-ФЗ “Об электронной подписи”.

Электронная подпись на планшете чем регламентируется

Мобильная подпись – это технология, использующая мобильное приложение на основе DSS SDK для хранения ключа подписи на мобильном устройстве пользователя. Хранение ключа подписи на устройстве пользователя 1 , а не на сервере, является главным отличием мобильной подписи от дистанционной («облачной»).

Мобильные приложения, содержащие ключ подписи, позволяют подписывать документы непосредственно на мобильном устройстве как квалифицированной, так и неквалифицированной электронной подписью (ЭП). При этом подписываемый документ может быть выбран пользователем с того же мобильного устройства либо отправлен в мобильное приложение из информационной системы (например, ЭДО).

Как использовать мобильную подпись

Мобильная подпись может применяться для создания квалифицированной электронной подписи, поскольку в мобильных приложениях DSS Client, myDSS 2.0 и других мобильных приложениях на базе DSS SDK используется сертифицированное встроенное средство ЭП КриптоПро CSP 5.0 R2.

Мобильная подпись позволяет создавать подписанные документы следующих форматов:

• электронная подпись ГОСТ Р 34.10–2012, ГОСТ 34.10-2018 и ГОСТ Р 34.10–2001 (необработанная ЭП);
• подпись формата CMS (CAdES-BES), CAdES-T и CAdES-X Long Type 1;
• подпись PDF-документов;
• подпись XML-документов (XMLDSig);
• подпись документов Microsoft Office.

Требования эксплуатационной документации на КриптоПро CSP выполняются при создании подписи формата CMS (включая усовершенствованные форматы CAdES) или необработанной подписи ГОСТ Р 34.10–2012 (ГОСТ 34.10-2018) с передачей исходного документа в мобильное приложение.

Действия по конвертации документов, предоставлению программного интерфейса интегрированной системе, контроля доступа, журналирования и др. выполняет серверная часть системы мобильной подписи, которой является КриптоПро DSS.

Сложные форматы подписи, требующие включения дополнительной информации (например, метки доверенного времени для подписи CAdES-T), создаются при помощи КриптоПро DSS. В этом случае мобильное приложение выполняет только криптографические операции, необходимые для вычисления значения подписи, или формирует исходную подпись формата CMS.

Переход к мобильной подписи в КриптоПро DSS

Переход к мобильной подписи, если уже используется мобильное приложение на основе DSS SDK, не требует приобретения лицензии и доработки интегрированной информационной системы, за исключением изменений в сценарии выпуска сертификата.

В случае если мобильное приложение на основе DSS SDK еще не используется или используется приложение предыдущего поколения myDSS, требуется планирование внедрения DSS SDK.

Как получить электронную подпись

Электронная подпись (ЭП) — то же самое, что обычная подпись, но в электронном виде. Она приравнивает любой электронный документ к бумажному оригиналу.

Что такое электронная подпись

По сути подпись — это специально сгенерированный файл с цифрами, который крепится к электронному документу. Этот файл отвечает на три главных вопроса:

1. Кто подписал документ?
2. Когда подписали документ?
3. Есть ли у этого человека полномочия?

Раньше еще использовали термин «электронная цифровая подпись», но сегодня он устарел — в законе теперь пишут «электронная подпись»

Электронная подпись гарантирует, что документ подписал владелец электронной подписи. А неквалифицированная и квалифицированная подписи покажут, изменился ли документ после подписания.

Зачем нужна электронная подпись

Электронная подпись понадобится тем, кто собирается использовать в работе электронные документы, сдавать отчетность и получать услуги в интернете.

Вот как используют электронную подпись юридические лица:

1. Работают с электронными документами, которые не надо печатать на бумаге. Государство признает такие документы имеющими юридическую силу.
2. Передают электронные налоговые декларации в ИФНС.
3. Оформляют электронные заявки на патенты, сделки с собственностью и др.
4. Участвуют в электронных торгах, где подписывают заявки на тендеры и тендерную документацию в электронном виде.
5. Подписывают документы в системе дистанционного банковского обслуживания, где можно удаленно оформить платеж и получить другие банковские услуги.
6. Подписывают служебные электронные документы внутри организации.
7. Регистрируют электронные сделки с недвижимостью.
8. Оформляют трудовые отношения с удаленным сотрудником.

Все эти операции призваны облегчить жизнь представителям бизнеса — экономить на документообороте, меньше бегать по инстанциям, получать государственные услуги удаленно и т. п .

А вот что могут сделать с электронной подписью обычные граждане:

1. Получить государственные услуги через интернет — например, оформить регистрацию или обращение к муниципальным властям с помощью портала госуслуг.
2. Подать электронное заявление на поступление в вуз, записать ребенка в садик или школу.
3. Обмениваться документами с удаленным работодателем.
4. Зарегистрировать или получить патент или разрешение — например, на строительные работы.
5. Подать судебный иск или жалобу в электронном виде. Сделать это можно через систему ГАС «Правосудие».

Обычно физлица делают электронную подпись, чтобы передавать документы госслужбам — например, удаленно подают заявление на регистрацию по месту жительства или отправляют иск или доверенность в суд. Но на самом деле электронная подпись может заменить рукописную в любых случаях. Вот как, к примеру, ее можно использовать:

1. Подписать долговую расписку, если хотите занять денег у человека из другого города.
2. Подать иск, ходатайство или жалобу.
3. Заверить доверенность, в том числе ту, для которой нужен нотариус.
4. Заключить договор: купли-продажи, на оказание услуг или любой другой.
5. Подписать любые документы. Многие из нас сталкивались, например, с удаленным банковским обслуживанием. Оно все построено на принципах электронной подписи. Ввод кода, полученного по смс, равнозначен подписанию документа.
6. Решить любой вопрос с налоговой службой. ФНС сама оформляет электронную подпись для решения таких вопросов, ей можно подписывать любой документ для налоговой и не ходить в ФНС. Это может быть, например, заявление на налоговый вычет, заявка о предоставлении льгот или жалоба на действия сотрудников ФНС.
7. Обезопасить деловую переписку. Взломать почтовый ящик проще, чем подделать ЭП. Если два человека договорились между собой о том, что будут считать достоверными письма, подписанные электронными подписями, им никто не мешает это делать.

О том, как еще обычный человек может использовать электронную подпись на практике, мы рассказывали в другой статье.

Как устроена ЭП

Файл электронной подписи генерирует специальная программа — средство криптографической защиты информации (СКЗИ). Когда вы подпишете документ электронной подписью, эта программа просканирует документ. В итоге она создаст уникальное сочетание данных документа — хэш-сумму . Она шифруется с помощью закрытого ключа — особой последовательности символов, которая формирует файл подписи. Ключ выдают владельцу подписи.

Сертификат закрытого ключа хранится у владельца на любом удобном носителе: на компьютере, внешнем диске или токене — специальной защищенной флешке, которую можно носить с собой. Еще подпись может быть на диске, смарт-карте , симке, в облачном хранилище и т. д .

Просмотреть подпись можно с помощью сертификата открытого ключа — электронного документа, в котором есть следующая информация:

1. Кто владеет подписью.
2. Какие у него полномочия.
3. Какая организация выдала подпись и какие у нее полномочия.

Программа СКЗИ проверяет хэш-сумму и сравнивает ее с содержанием документа. Если все совпало, документ не меняли и подпись цела. Несовпадения означают, что документ изменили после того, как подписали. Тогда подпись автоматически считается недействительной и документ теряет юридическую силу.

Виды ЭП и их отличия

В законе описаны несколько видов электронной подписи: простая, неквалифицированная и квалифицированная.

Простая электронная подпись самая доступная. Это логин и пароль, которые подтверждают, что пользователь авторизовался в системе. C помощью этой подписи можно подтвердить обращение в органы власти или подписать заявку на услугу. Еще ей можно пользоваться во внутреннем документообороте компании и подписывать служебные письма.

Например, вы заходите в мобильный банк при помощи логина и пароля или подтверждаете оплату в интернете кодом из смс. По условиям договора с банком такая подпись равнозначна обычной подписи.

Простая электронная подпись уязвима, поэтому ее применяют не везде. Если вы работаете с имущественными и финансовыми документами, то лучше ее не использовать. Она подтвердит, что документ подписали, но не гарантирует, что его не меняли и что его подписал нужный человек. Это будет проверять арбитражный суд, если возникнет спорная ситуация.

Неквалифицированная электронная подпись формируется с помощью средств шифрования. Средства шифрования — это специальная программа, имеющая сертификат ФСБ. Считается, что подделать подпись, созданную с помощью такой программы, невозможно или очень сложно. Эта подпись говорит: документ подписал такой-то человек в такое-то время и не менял его после.

Эту подпись используют в электронном документообороте. Ей подписывают договоры, контракты и агентские отчеты, но только если стороны заключили соглашение о доверии таким подписям и электронным документам.

Неквалифицированные подписи можно генерировать внутри компании или сервиса с помощью бесплатных инструментов. Государство не может контролировать неквалифицированную подпись: ее может выдать кто угодно, ей может владеть кто угодно и она не защищена средствами, которым доверяет государство. Именно поэтому в судебных инстанциях не принимают такие подписи.

Квалифицированная электронная подпись — самый надежный вид электронной подписи. От неквалифицированной ее отличает то, что выдают ее в удостоверяющем центре. Эта организация уполномочена выдавать электронные подписи и осуществлять услуги по криптозащите информации. Она прошла сертификацию ФСБ и аккредитацию у Минкомсвязи, и ей доверяют государственные органы.

Целостность подписи проверяют двумя способами:

1. Смотрят список недействительных сертификатов — его можно скачать на сайте удостоверяющего центра. Это помогает определить, была ли подпись действительна, когда ее использовали.
2. Проверяют штамп времени. Этот показатель говорит, когда документ подписали.

Так определяют, что подпись не была утеряна, украдена или просрочена, когда ее использовали.

Сертификат квалифицированной подписи необходимо обновлять каждый год: помнить, когда она перестает действовать, и вовремя заказывать перевыпуск.

У квалифицированной подписи есть два важных преимущества.

Взломать квалифицированную подпись практически невозможно — это потребует слишком больших вычислительных ресурсов. Если вы потеряете закрытый ключ, по вашему сигналу удостоверяющий центр отзовет сертификат — подписывать документы с его помощью будет нельзя.

Ее можно использовать в любых операциях с электронными документами. Ей доверяют арбитражный суд и налоговая служба, поэтому чаще всего ей подписывают электронные счета-фактуры, налоговые декларации и договоры.

Где можно использовать электронную подпись

Простая	Неквалифицированная	Квалифицированная
Внешние и внутренние электронные документы	+	+	+
Документооборот с физическими лицами	+	+	+
Госуслуги	+	—	+
Документы для ИФНС в личном кабинете налогоплательщика	—	+	+
ПФР и ФСС	—	—	+
Арбитражный суд	—	—	+

Как начать работать с квалифицированной электронной подписью

Чтобы начать работать с электронной подписью, необходимо подготовить свое рабочее место и приобрести сертификат подписи. Сертификат выдают быстро — в течение часа.

Рабочее место — это ваш компьютер, на котором вы будете подписывать документы. На нем должна быть операционная система Виндоус или Мак-ос и браузер с доступом в сеть. Линукс тоже подойдет, но его понадобится настроить. Это могут бесплатно сделать в удостоверяющем центре, но туда, возможно, придется везти компьютер. Некоторые компании помогают с установкой рабочего места через удаленный доступ к компьютеру клиента или предлагают сразу установить все необходимые для работы ЭП программы с помощью автоматической программы установки, которая находится у них на сайте.

Еще для работы с квалифицированной подписью надо будет установить программу для криптозащиты информации (СКЗИ). Самые распространенные средства криптозащиты в России — это «Криптопро CSP», Signal-com CSP, «Лисси CSP», Vipnet CSP. Все они примерно одинаковые.

Какое конкретно СКЗИ потребуется и какие настройки будут нужны, вам скажут в удостоверяющем центре или МФЦ.

Как приобрести подпись юридическому лицу и ИП

Юридические лица получают квалифицированные сертификаты подписи в МФЦ или удостоверяющем центре — УЦ. С 1 января 2022 года электронную подпись для ИП или юридического лица бесплатно делают в налоговой. Сертификат выдают независимо от адреса регистрации предпринимателя или юридического лица — в УЦ ФНС или у доверенного лица, среди которых и Тинькофф Банк.

Бесплатно в налоговой выдадут только сертификат КЭП. Носитель, на который его нужно записать, и программу шифрования данных, например «Криптопро CSP», придется приобретать дополнительно. Потом вы сами будете заниматься настройкой рабочего места.

В удостоверяющем центре подпись делают за деньги, но вам предложат флешку, установку, а иногда и последующую техподдержку. Например, техподдержка «Контура» помогает с любыми вопросами по работе с подписью в течение срока ее действия.

Найти удостоверяющий центр можно в списках аккредитованных центров на сайте Минкомсвязи или на сайте e-trust.gosuslugi.ru. Выбирайте тот центр, у которого есть филиал в вашем городе. Удаленно электронную подпись получить нельзя, придется идти за подписью лично. Исключение — если получали ЭП ранее и еще действует прежний сертификат. Тогда сделать новую подпись можно полностью удаленно, если работать через УЦ.

Чтобы получить электронную подпись, вам потребуются следующие документы:

1. Заявление на изготовление электронной подписи. В удостоверяющем центре вам выдадут форму заявления, а в МФЦ вы заполните заявление на сайте госуслуг.
2. Выписка из ЕГРЮЛ или ЕГРИП. Получить ее можно на сайте ФНС.
3. Копия устава для юридических лиц.
4. Паспорт — для ИП.
5. СНИЛС — для ИП.

Если подпись получает представитель, ему дополнительно потребуются:

1. Доверенность уполномоченного представителя на получение подписи.
2. Паспорт получателя.

Если делаете подпись через УЦ, когда подпишете заявление, надо будет оплатить счет. Лучше платить наличными или банковской картой. Если будете платить банковским переводом, вам придется ждать, когда оплата пройдет. Срок ожидания зависит от того, как быстро банк обработает платеж: можно прождать несколько минут, а можно и несколько дней.

Максимальный срок — до 3 рабочих дней. Обычно платеж приходит на следующий рабочий день или через день после проведения оплаты.

В разных регионах сертификат стоит по-разному. В Москве — от 3450 Р , а в Хакасии, например, это может стоить от 1000 Р . В Тинькофф сертификат, токен и установка обойдутся в 3000 Р .

После оплаты вам запишут электронную подпись на токен. Его можно купить в удостоверяющем центре за 1200—1300 рублей . С этого момента сертификат начинает действовать.

Как приобрести подпись физическому лицу

Обычные граждане могут пользоваться любой подписью — простой, неквалифицированной и квалифицированной. Как правило, простая подпись используется для авторизации на госуслугах, где можно заказывать информационные услуги в электронном виде. Неквалифицированной подписью можно пользоваться по договоренности для обмена документами с юридическими лицами. А с помощью квалифицированной подписи получают госуслуги, связанные с имущественными операциями. Например, ею можно подписать договор купли-продажи квартиры и подать его на государственную регистрацию. Или оформить юрлицо без посещения налоговых органов, назначить его директора и других должностных лиц.

Физическим лицам проще всего получить подпись в ближайшем МФЦ: рядом может не быть удостоверяющих центров, а МФЦ найдется всегда. Для этого надо записаться на прием и подготовить следующие документы:

1. Заявление на изготовление квалифицированного сертификата — шаблон дадут в МФЦ.
2. Паспорт.
3. СНИЛС.
4. Свидетельство о присвоении ИНН.

В Москве электронная подпись для граждан стоит 900—950 рублей . Вместе с носителем цена составит 1500—1600 Р . Отдельно носитель будет стоить от 1500 рублей. Эта цена отличается в зависимости от тарифа удостоверяющего центра и того, насколько защищенную подпись вы хотите использовать.

Еще квалифицированную ЭП можно получить бесплатно — через мобильное приложение «Госключ». Для этого потребуется подтвержденная учетная запись на госуслугах, действующий загранпаспорт нового образца, который выдают на 10 лет, и смартфон с NFC-модулем. Такой подписью можно подписывать любые документы на госуслугах и коммерческих площадках, которые интегрированы с Госключом.

Расходы на электронную подпись в Москве для физических лиц — 2150 Р

Токен	1200 Р разово
Электронная подпись	от 950 Р в год
Программа СКЗИ	0 Р

Расходы на электронную подпись в Москве для юридических лиц — 2700—3600 Р

Токен	1200 Р разово
Электронная подпись	от 1500 Р в год
Программа СКЗИ	0 Р или коммерческая СКЗИ на выбор от 900 Р

Как подписать документ электронной подписью

Ваше СКЗИ добавляет в контекстное меню вашей операционной системы — Виндоус или Мак-ос — свой специальный раздел. Таким образом, можно подписать любой документ просто нажатием правой кнопки мыши. На сайте каждого СКЗИ можно найти подробную инструкцию, как подписывать документ.

Например, так работает процесс подписания с помощью программы « Крипто-АРМ »:

1. Кликните правой кнопкой мыши по документу.
2. Найдите пункт меню « Крипто-АРМ » и нажмите «Подписать».
3. После этого запускается мастер создания электронной подписи, который подробно объяснит все дальнейшие шаги.
4. В итоге рядом с документом появится новый файл документ.doc.sig — это и есть файл электронной подписи.

Документы « Микрософт-офис » подписать еще проще:

1. В ворде во вкладке «Файл» откройте пункт «Сведения».
2. Найдите кнопку «Защита документа». В экселе она будет называться «Защита книги», в пауэпоинте — «Защита презентации».
3. Далее в открывшемся меню нажмите кнопку «Добавить цифровую подпись».
4. Выберите из списка сертификат подписи и нажмите «Ок».

Инструкция по установке ЭП на сайте поддержки Микрософт

В результате документ становится недоступным для изменения, а рядом с ним в папке появится файл подписи в формате документ.doc.sig .

Документы можно подписывать в электронной почте и облачных хранилищах — например, в «Дропбоксе» и на «Яндекс-диске». Для этого нужно установить специальное расширение для браузера. Такое расширение добавляет в интерфейс вашего файлового хранилища кнопку «Подписать».

В « Гугл-докс » плагины для электронной подписи можно найти во вкладке «Дополнения».

Как проверить подлинность подписи

Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:

Можно ли передать подпись другому

Теоретически можно. По закону вы должны не допускать того, чтобы подпись попала в чужие руки без вашего согласия. Получается, другой человек может использовать вашу подпись, если вы согласились на это. Но ответственность за любой подписанный документ все равно несет владелец подписи.

Что делать, если потеряли электронную подпись

Если вы потеряли ключ от подписи или его украли, сразу обратитесь в удостоверяющий центр или МФЦ, который выдавал вам сертификат. Центр отзовет ваш сертификат, чтобы его не могли использовать мошенники. Еще обязательно сообщите об этом контрагентам, чтобы они знали, что вашей утерянной подписью могут воспользоваться злоумышленники.

Восстановить утерянный сертификат или ключ ЭП невозможно. Нужно получать новый: собирать документы и идти в удостоверяющий центр.

Как перевыпустить сертификат

Срок действия сертификата электронной подписи — год. Когда он подойдет к концу, выпустите новый сертификат. Для этого обратитесь с заявлением в удостоверяющий центр или МФЦ. Если в документах ничего не изменилось, нести их снова не нужно. Если какие-то документы поменялись, нужно принести оригиналы только этих документов. Можно не дожидаться окончания срока действия текущего сертификата и заказать новую подпись заранее — тогда это делается онлайн, если получать подпись через УЦ.

Минутка технического занудства (слабонервным лучше сразу в конец пролистать, там чуть веселее):

> "В итоге она создаст уникальное сочетание данных документа — хэш-сумму. Уникальным оно будет благодаря закрытому ключу — особой последовательности символов, которая формирует файл подписи."

Закрытый ключ не участвует при создании хэш-суммы. Хэш-сумма — это результат хеширующей функции, работающей по определенному алгоритму (md5, семейство sha, ГОСТовый стрибог и прочие). Закрытый ключ применяется для шифрования полученного хеша — в результате получается электронная подпись.

Пара важных свойств хеш-функции (пригодится для понимания принципа работы ЭП):
— на одних и тех же данных функция всегда дает одинаковый результат
— результат необратим (нельзя из результата хеш-функции получить исходные данные)
— в идеале хеш-функция должна выдавать уникальный результат для каждого уникального набора данных. На практике это не всегда так — бывают коллизии (т.е два разных документа могут иметь одинаковых хеш). Чем лучше хеш-функция, тем меньше вероятность коллизии.

Теперь немного про ключи и зачем нужны:

1) Изначально генерируется пара ключей. Они связаны между собой и полностью равноценны. Один ключ прячут и никому не показывают (его называют закрытым ключом), другой ключ не является секретным и раскрывается публике (его называют открытым ключом). Какой ключ становится закрытым, а какой публичным — не важно, сами ключи изначально равноправны. В ключевой паре всегда только два ключа — закрытому ключу соответствует только один открытый ключ, открытому ключу соответствует только один закрытый ключ.
2) Сами ключи используются для шифрования и дешифрования. То, что было зашифровано одним ключом, может быть расшифровано его парным ключом. Если владелец ключа шифрует данные своим ЗАКРЫТЫМ ключом, то расшифровать их может кто-угодно с помощью ОТКРЫТОГО ключа (который доступен всем). Это применяется для подтверждения принадлежности данных конкретному лицу (в частности для реализации электронной подписи). И наоборот — кто-угодно может зашифровать данные ОТКРЫТЫМ ключом, а прочитать (расшифровать) эти данные сможет только владелец ЗАКРЫТОГО ключа. Это применяется для передачи секретной информации, которая предназначается только для владельца закрытого ключа и никому больше.
3) Что такое сертификат? Сертификат — это электронный документ, подтверждающий принадлежность ОТКРЫТОГО ключа определенному лицу. В сертификате содержится сам ОТКРЫТЫЙ ключ, а так же указано лицо (или компания), которой этот ключ принадлежит. Сертификаты выпускаются удостоверяющими центрами, которым все доверяют, а на самом сертификате так же устанавливается электронная подпись удостоверяющего центра, чтобы доказать что сертификат действительно легитимный, а не создан где нибудь в подвале. На один и тот же ОТКРЫТЫЙ ключ может быть выпущено несколько сертификатов (например разными удостоверяющими центрами и с разными сроками действия).

(Увы, весь пост не влез, продолжение ниже)

Итак, как все таки работает электронная подпись?

1) Иван генерирует у себя ключевую пару. Один ключ кладет в сейф рядом с ружьем и консервами, другой ключ относит в уважаемый удостоверяющий центр. В удостоверяющем центре на Ивана пристально смотрят, проверяют его паспорт (чтобы удостовериться, что Иван — это Иван) и выдают ему Сертификат Открытого Ключа, в котором явно прописывается тот ключ, который принес с собой Иван, а так же тот факт, что ключ этот действительно принадлежит Ивану (помимо этого в сертификате указано кем он выдан, срок действия и всё такое прочее).
2) Иван вывешивает сертификат на видном месте, чтобы любой человек мог его прочитать. Таким образом теперь ВСЕ знают ОТКРЫТЫЙ ключ Ивана (и точно знают, что это ключ принадлежит именно Ивану, а не злодею Иннокентию, например)
3) Иван решает рассказать всему миру о своей любви к Т-Ж и пишет письмо, которое требуется подписать, чтобы доказать что письмо действительно написано Иваном (а не Иннокентием, например). Для этого Иван сначала высчитывает хеш своего письма, потом шифрует это хеш своим ЗАКРЫТЫМ ключом (достает его из сейфа, шифрует, аккуратно кладет ключ обратном рядом с консервами). В результате получается электронная подпись, которую Иван прикладывает рядом со своим письмом.
4) Редактор Т-Ж Анна получает письмо от Ивана (вместе с подписью). Чтобы удостовериться, что письмо действительно написано Иваном, Анна проверяет подпись. Для этого она сначала сама высчитывает хеш от письма Ивана, а потом расшифровывает подпись ОТКРЫТЫМ ключом Ивана (который общеизвестен, ведь сертификат с ключом Иван повесил на людном месте) — таким образом она получает тот хеш, который ей прислал Иван. Теперь Анна сверяет два хеша — тот, который посчитала сама, и тот, который прислал ей Иван в зашифрованном виде (т.е электронную подпись). Если хеши сошлись, то можно сделать два вывода:
— подпись сделал точно Иван (потому что Анна смогла расшифровать хеш ОТКРЫТЫМ ключом Ивана -> это значит, что изначально хеш был зашифрован ЗАКРЫТЫМ ключом Ивана, а его знает ТОЛЬКО Иван. Если бы хеш был зашифрован чьим-то чужим закрытым ключом, то расшифровать данные с помощью открытого ключа Ивана не удалось бы).
— данные не были изменены в процессе передачи (если бы данные поменялись, то при самостоятельном вычислении хеша Анна бы получила иное значение, чем содержащееся в подписи Ивана).
5) Ура, теперь Анна точно знает, что письмо действительно пришло от Ивана, а его содержимое не было изменено при доставке.
6) (Дополнительно) Анна может зашифровать послание Ивану (секретное ответное признание в любви) с помощью ОТКРЫТОГО ключа Ивана и послать это сообщение Ивану. Прочитать признание (расшифровать) сможет ТОЛЬКО Иван с помощью своего ЗАКРЫТОГО ключа (который рядом с ружьем и консервами, ну вы поняли). Но как Иван может убедиться, что любовное послание было получено именно от Анны? Ведь отправить зашифрованное ОТКРЫТЫМ ключом послание может кто угодно. Теперь Анне тоже нужна своя ключевая пара и подпись, чтобы доказать Ивану, что она — это она.

Parmigiano, это самое понятное описание принципов криптографии открытого ключа, которое я видел. Спасибо огромное!

Parmigiano, отличный сторителлинг. И спасибо за разъяснение! Немного поправим текст в части описания закрытого ключа. А то в ходе редакторских правок и попыток написать все понятным языком чуть упустили техническую точность.

Цифровой след: разбираемся в тонкостях электронных подписей

Если по-научному, то электронная подпись — это результат криптографических преобразований документа с помощью специальной программы. Проще говоря, к электронному документу прикрепляется сгенерированный системой файл. Он подтверждает сразу два важных момента: первый — что документ подписан, второй — кто именно это сделал и какими полномочиями он обладает. С помощью электронной подписи ещё можно точно определить дату подписания и целостность документа: если кто-то вдруг решит внести изменения, система это зафиксирует. Правда, всё зависит от нюансов самой подписи и сервиса, где она применяется. Это возможно, только если вы используете усиленную электронную подпись. Подробнее о видах и их особенностях поговорим позже.

Несмотря на то что по форме электронная подпись не имеет ничего общего с собственноручной, возможностей для её применения гораздо больше, чем кажется на первый взгляд. Впрочем, как и у любого другого цифрового инструмента. О тонкостях использования электронной подписи можно почитать в законе. Если разложить всё по полочкам, с её помощью дистанционно вы можете:

• получить государственные услуги, оформив обращение, скажем, через портал госуслуг;
• решить вопросы, связанные с работой Федеральной налоговой службы, — от оформления налогового вычета до предоставления налоговых льгот;
• оформить заявление на поступление в детский сад, школу или любое другое учебное заведение;
• заключить договор, в том числе купли-продажи недвижимости;
• заверить доверенность;
• взаимодействовать с ГИБДД — переоформить транспортное средство, оплатить штраф;
• подать прошение, судебный иск или жалобу;
• подтвердить долговую расписку;
• участвовать в электронных торгах;
• подписывать любые документы, в том числе с работодателем.

Последний пункт особенно интересен, поскольку с переходом на удалённый и гибридный форматы работы многие компании задумались о внедрении кадрового электронного документооборота. И здесь без цифровых подписей — никак.

Кадровый электронный документооборот

Сказать, что компания переходит на кадровый документооборот, гораздо проще, чем сделать. Далеко не все работодатели готовы перестраивать привычные процессы и приобретать электронные подписи для сотрудников, а эта обязанность ложится на их плечи. Даже несмотря на то что подобная автоматизация экономит время и силы работников и деньги компании, до полноценного перехода дошли немногие. Но если уж дошли — это может быть отличным показателем зрелости процессов в организации. Так что к вопросам на собеседовании о круге потенциальных задач и почему открылась вакансия можно добавить ещё один: как обстоят дела с электронным документооборотом.

Недавно в Трудовой кодекс РФ добавили три новые статьи, которые касаются электронного документооборота в сфере трудовых отношений. Большинство кадровых документов сегодня можно перевести в цифровой вид: это и трудовой договор, и приказ о приёме на работу, и личная карточку сотрудника. Так что не удивляйтесь, если вместо привычных бумажных версий типовых документов при трудоустройстве вы получите электронные. Алексей Сабликов, ведущий специалист отдела по работе с корпоративными клиентами «Такском»

Электронная подпись пригодится и в том случае, если в компании до сих пор используют служебные или объяснительные письма, просят подтвердить ознакомление с приказами, локальными нормативными актами и прочими внутрикорпоративными документами. Простой пример: вам приходит на почту письмо, где директор просит с 11 мая являться на работу не к 9:00, а к 8:30. В большинстве случаев для подтверждения не нужна какая-то особенная подпись, даже простого «Всё получил» в письме, отправленном корпоративной почтой, будет достаточно. Что интересно, такой ответ тоже будет являться электронной подписью, правда, самой простой. Но есть один важный нюанс: о способе обмена, а значит, и о том, что может считаться электронной подписью в компании, работодатель и сотрудник должны договориться заранее. Причём письменно. Как правило, эти моменты отражаются в трудовом договоре или в дополнительных соглашениях.

Для подписания трудового договора или документа о материальной ответственности простой электронной подписью не обойтись. Даже если работодатель предлагает вам поставить автограф на pdf-файле, такой документ не будет иметь юридической силы в суде. Нужны инструменты серьёзнее — усиленная неквалифицированная или усиленная квалифицированная электронная подпись. Самое время разобраться, чем они отличаются друг от друга.

Виды электронных подписей

Простая электронная подпись (ПЭП)

Это самый разнообразный и уязвимый вид электронной подписи. К ПЭП можно отнести и подписанный неровным почерком pdf-файл, и письмо в почте, отправленное на запрос, и логин с паролем — авторизацию пользователя в системе, и даже введённый код от банковского приложения, подтверждающий оплату. Есть сервисы, которые полностью заточены под использование простой электронной подписи, например: Федеральная налоговая служба, «Госуслуги» или интернет-банки. Без авторизации их полноценное использование невозможно. Плюс, как уже разбирали, простая электронная подпись пригодится для работы с внутренним документооборотом компании.

Как известно, чем шире распространение, тем больше рисков. ПЭП проще всего подделать, поэтому это неполноценный аналог собственноручной подписи, а значит, и принимают её не везде.

В определённой системе может быть свой формат электронной подписи, но она будет котироваться только внутри неё. ПЭП — самый уязвимый вид подписи. Очень легко в суде представить всё так, что документ подписал другой человек или, что ещё хуже для работодателя, сама компания. Кроме того, легко внести изменения в первоначальную версию файла — с ПЭП отследить правки невозможно. Татьяна Нечаева, старший юрист по трудовому праву и договорной работе hh.ru

Усиленная неквалифицированная подпись (УНЭП)

Такая подпись действует внутри той системы, для которой её создавали. Главное отличие УНЭП от простой электронной подписи в том, что она зафиксирована внутри конкретного сервиса. Иначе говоря, система умеет распознавать пользователя по его цифровым следам. Для этого применяются средства шифрования, которые и преобразуют информацию, чтобы ограничить к ней доступ. Ключ к такой подписи почти невозможно подобрать вручную, поскольку он представляет собой сложный набор символов. Это уже не простой логин и пароль или код из СМС, а полноценный инструмент, который может гарантировать, что документ подписал конкретный человек в определённое время и не вносил в него никаких изменений. Последнее особенно важно как для работодателя, так и для сотрудника, чтобы избежать возможных недоразумений. Бывает так, что вместо отпуска с 15 мая в заявлении на этапе утверждения появляется дата 17 мая, а в приказе о раннем приходе на работу значится уже не 8:30, а 9:00. С УНЭП таких ситуаций не будет.

Как и в случае с простой электронной подписью, стороны должны договориться о том, что усиленной неквалифицированной подписи они доверяют. Тогда можно вести электронный документооборот между компанией и сотрудниками, клиентами, партнёрами. Однако всех возможностей с УНЭП тоже не попробовать. Поскольку создавать и использовать её может кто угодно, большого доверия у государства к такой подписи нет. Так что ту же сделку покупки или продажи квартиры с ней не оформить.

Усиленная квалифицированная электронная подпись (УКЭП)

Это самая «взрослая» из всех вариантов электронных подписей, и выдают её специальные аккредитованные Минкомсвязью удостоверяющие центры. Этим УКЭП и отличается от УНЭП.

УКЭП приравнена к рукописной подписи. Я бы рекомендовал сразу оформлять её, поскольку только усиленная квалифицированная электронная подпись даёт возможность работы со всеми сервисами, включая площадки проведения электронных торгов. Помимо оформления подписи, ещё необходимо установить программное обеспечение для её использования. И нужно сразу понимать, где будет храниться УКЭП — на компьютере, токене (защищённая «флешка». — Прим. ред.) или на внешнем диске, фактически это ваш идентификатор, серьёзный инструмент, и отношение к нему должно быть соответствующим. Алексей Сабликов, ведущий специалист отдела по работе с корпоративными клиентами «Такском»

Сертификат усиленной квалифицированной подписи необходимо обновлять ежегодно. Особенно важно помнить об этой важной детали компаниям и сотрудникам, участвующим в тендерах. Несвоевременное продление УКЭП грозит многомиллионными потерями. Перевыпустить её легко — достаточно повторно обратиться в удостоверяющий центр. То же самое касается и утерянной электронной подписи. Например, если она хранилась на токене. Первое, что нужно сделать, — приехать в удостоверяющий центр и написать заявление, чтобы подпись заблокировали и при необходимости выпустили новую, но это того стоит — лучше потратить немного времени, сэкономив силы и ресурсы на разбирательствах с мошенниками.

Какие есть риски

Если УКЭП даёт почти стопроцентную защиту и гарантирует подлинность авторства, то при использовании любой другой подписи велик риск подлога, выражаясь юридическим языком.

С точки зрения судебных споров и перспектив, всегда в выигрыше будет тот, кто больше защищён. Такие вещи лучше объяснять на конкретных кейсах.

Дано: сотрудник использовал ПЭП, подписав документ о неразглашении коммерческой тайны. Компания подала на него в суд, обвиняя в сотрудничестве с конкурентами, а он, в свою очередь, направил встречный иск, утверждая, что работодатель подделал его подпись.

Решение: компании придётся предоставить множество доказательств, что никто не взламывал учётную запись сотрудника и не «расписывался» за него.

Если уж дело доходит до суда, возникают разные ситуации, даже, на первый взгляд, самые невообразимые, поэтому многие работодатели предпочитают иметь дело исключительно с УКЭП, несмотря на её относительно высокую стоимость. Её учёт и хранение регламентируется федеральным законодательством, а значит, есть все гарантии, что человек самостоятельно подписывает документы и несёт за это полную ответственность.

В hh.ru мы давали работникам право выбора: оформить УКЭП или УНЭП. Сотрудники сами оценивали риски и возможности. Многие сразу решили, что хотят серьёзную подпись — УКЭП, чтобы использовать её не только на работе, но и в обычной жизни. Мне кажется, это здорово, когда за счёт работодателя сотрудник может получить удобный инструмент и обмениваться кадровыми документами, решать личные задачи. Татьяна Нечаева, старший юрист по трудовому праву и договорной работе hh.ru

Как получить электронную подпись и сколько это стоит

Всё зависит от того, о какой электронной подписи идёт речь. Скажем, Федеральная налоговая служба для работы пользователей на своём портале предоставляет её автоматически. Но, опять же, возможности такой подписи ограничены одной системой.

Для получения УНЭП следует обратиться в МФЦ, а за УКЭП — исключительно в аккредитованный удостоверяющий центр, захватив документы: паспорт, СНИЛС и ИНН. Далее заполняется заявление на выпуск электронной подписи. В удостоверяющем центре заключается договор, оплачивается услуга, выдаётся УКЭП, а вместе с ней и программное обеспечение для работы. В МФЦ всё бесплатно — после оформления заявки можно получать УНЭП.

В среднем электронная подпись обходится в 2 000 ₽. Цена зависит от тарифа удостоверяющего центра и от параметров подписи. Например, УКЭП для участия в электронных торгах стоит дороже — от 3 500 до 10 000 ₽.

В случае с УКЭП за неё должна платить компания. Если у сотрудника с предыдущего места работы по наследству осталась такая электронная подпись, работодатель может сэкономить. Но организация не обязана предоставлять исключительно УКЭП, по закону для подписания тех же кадровых документов годится и УНЭП, который оформляется бесплатно.

Плюсы и минусы использования электронной подписи

Ключевое преимущество электронной подписи перед обычной в том, что всё можно делать дистанционно. Сотрудникам нет необходимости приходить в офис и тратить время на подписание документов, фрилансерам — ждать курьеров или идти на почту, чтобы отправить подписанные акты, приложения и прочие бумаги. Усиленная электронная подпись защищает своего владельца от множества манипуляций и махинаций, если, конечно, она лежит в сохранном месте. И ещё один весомый «плюсик в карму» — возможность сберечь бумагу, а значит — проявить социальную ответственность. В общем, электронная подпись — это удобно и прогрессивно.

При этом у медали традиционно две стороны. Нет смысла делать электронную подпись, если вы собираетесь обмениваться документами раз в год с каким-нибудь работодателем, а всё остальное время держать токен в сейфе. Это всё равно что купить супермощный ноутбук только для просмотра роликов в интернете. Гораздо продуктивнее использовать электронную подпись по полной и подписывать ею любые возможные документы и заявления. Тогда деньги на ту же УКЭП приобретут статус непотраченных, но вложенных.

Важно понимать, что электронной подписью невозможно подписать документы задним числом, как это часто бывает при документообороте с партнёрами. Тогда придётся вернуться к привычным бумажным вариантам, а это наверняка вызовет вопросы у проверяющих органов.

Электронная подпись сокращает время трудоустройства — вы не тратите полдня на подписание кадровых бумаг в офисе, и помогает в разных областях жизни. Сейчас появляется большое количество площадок, где может использоваться электронная подпись, соответственно, становится больше сфер для её применения. Прежде всего, это удобно. Алексей Сабликов, ведущий специалист отдела по работе с корпоративными клиентами «Такском»

А ещё электронная подпись помогает более осознанно подходить к процессу подписания документов. Сегодня многие стали задумываться о таких важных вещах, как информационная безопасность, цифровая гигиена, и прочих понятиях из диджитал-среды. Это всё про цифровые следы, которые мы оставляем, поэтому крайне важно, чтобы каждый наш сделанный шаг вёл к намеченной цели.

�� Материал был полезен? Поделитесь им с друзьями в соцсетях!
Кнопка репоста — в шапке статьи ⏫

Читайте также

• Уведомления в мессенджер

HeadHunter

Новости и статьи

Сервисы для соискателей

Молодым специалистам

• Уведомления в мессенджер

Сегодня на сайте 1085733 вакансий , 62444242 резюме , 1862818 компаний и за неделю 3256015 приглашений