Электронная подпись (ЭП)
Электронная подпись – это реквизит электронного документа, обеспечивающий его подлинность.
Электронная подпись формируется с использованием средств криптографической защиты информации (СКЗИ) и закрытого ключа электронной подписи, и позволяет идентифицировать автора документа, а также – подтверждает, что после подписания электронного документа никаких изменений в нем не производилось.
На текущий момент существуют три вида электронной подписи:
Простая электронная подпись
Является самым незащищенным видом подписи и чаще всего представляет собой код, отправляемый по СМС, либо - логин и пароль.
В соответствии с Постановлением Правительства РФ № 634 от 25 июня 2012 г. «О видах электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг», простой электронной подписью может быть подписан запрос заявителя при обращении за услугой, не предусматривающей выдачу документов, и(или) состоящий в предоставлении справочной информации.
Использование простой электронной подписи также возможно, если такое соглашение достигнуто между участниками электронного документооборота.
Усиленная неквалифицированная электронная подпись
Вид подписи, который позволяет определить отправителя и подтвердить, что после подписания в документ не вносились изменения. Данная подпись приравнивает документ к собственноручно подписанному с печатью организации, если это установлено регламентом информационной системы, в котором используется данный вид подписи, либо соглашением сторон, участвующих в электронном документообороте. Именно этот вид подписи используется для торгов по Федеральному закону № 44-ФЗ.
Усиленная квалифицированная электронная подпись
Из всех подписей – самая законодательно регулируемая. Порядок выпуска усиленной квалифицированной электронной подписи установлен ФЗ № 63-ФЗ от 06.04.2011 г. «Об электронной подписи». Эта подпись обладает теми же свойствами, что и усиленная неквалифицированная подпись, но используется в информационных системах без дополнительного описания ее применения в регламенте/соглашении сторон.
Усиленная квалифицированная подпись применяется для участия в торгах на некоторых коммерческих площадках и площадках по продаже имущества должников (банкротов), в юридически значимом электронном документообороте с контрагентами, при отправке отчетности в контролирующие органы через интернет, при работе с порталами государственных органов.
Для работы на некоторых сайтах требуются дополнительные разновидности электронной подписи, в частности:
Отсоединенная электронная подпись
При создании такой электронной (отсоединенной) электронной подписи файл подписи создается отдельно от подписываемого файла. Так как подписываемый файл никак не изменяется, его можно читать, не прибегая к специальным программам, работающим с электронной подписью.
Для проверки такой подписи используются программы либо сервисы, работающие с электронной подписью. При этом входными данными для таких программ будут служить файл с электронной подписью и подписанный ей файл.
Такая разновидность электронной подписи на текущий момент используется в судебном электронном документообороте (например – сайт МОЙ АРБИТР). Для формирования данного вида подписи, помимо квалифицированной электронной подписи, необходимо приобрести соответствующую программу (как вариант - КриптопроАРМ).
Присоединенная электронная подпись
Электронная подпись, при создании которой создаётся файл, содержащий, как саму электронную подпись, так и исходный документ. При использовании присоединенной подписи для чтения подписанного файла необходимо прибегнуть к специальным программам, работающим с электронной подписью, в которых можно как проверить подпись, так и «извлечь» подписанный файл для чтения. При этом входными данными для таких программ или сервисов будет служить единый файл, содержащий как электронной подпись, так и подписанный ей документ.
В соответствии с п. 4 ст. 5 63-ФЗ «Об электронной подписи» квалифицированная электронная подпись должна соответствовать следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Квалифицированный сертификат электронной подписи - это электронный «паспорт» юридического или физического лица, который выдается удостоверяющим центром для идентификации владельца электронной подписи и подтверждения ее подлинности. Сертификат электронной подписи содержит:
- сведения о владельце;
- открытый ключ для проверки подлинности подписи получателем;
- информация об удостоверяющем центре, выпустившем сертификат;
- сведения об области применения сертификата.
Квалифицированный сертификат выдается сроком на календарный год (с даты выпуска), и по истечении срока действия его необходимо продлевать.
Открытый ключ для проверки подлинности подписи - уникальная последовательность символов, связанная с закрытым ключом, но являющаяся общедоступной информацией, с помощью которой адресат, которому отправлен электронный документ, проверяет подлинность электронной подписи отправителя или зашифровывает документ.
Закрытый ключ - уникальная последовательность символов, с помощью которой происходит подписание и расшифрование документов. Закрытый ключ всегда идет в паре с общедоступным открытым ключом электронной подписи, который позволяет удостовериться в подлинности электронной подписи или зашифровать документы.
Закрытый ключ должен хранится на защищенном ключевом носителе – токене. Этот носитель, предназначен для безопасного хранения закрытого ключа электронной подписи. Вместе с закрытым ключом на носителе обычно хранится и сертификат электронной подписи владельца. В основном используются два вида ключевых носителей: Рутокен и eToken – ключевые носители в виде USB-ключей (флеш-карты)
Гарантировать конфиденциальность электронного документа и электронной подписи возможно только при условии хранения закрытого ключа ЭП на ключевом носителе без доступа к нему третьих лиц.
В случае, если рутокен с закрытым ключом оказывается у третьих лиц, происходит «компрометация» ключа, и сертификат электронной подписи должен быть отозван.
Также компрометация закрытого ключа может произойти в случае заражения рабочего компьютера вирусной программой.