Простыми словами про электронную подпись

Электронная подпись - это информация в электронной форме, которая присоединена к подписываемой информации в электронной форме и которая позволяет определить лицо, подписывающее эту информацию.

Закон определил три понятия ЭП:

• Простая электронная подпись — любые коды, пароли, сканы, SMS-верификация. Имеет ограниченное юридическое признание, в том числе только в случае, когда стороны договора заранее договорились использовать такой тип подписи и определили параметры использования.
• Усиленная неквалифицированная электронная подпись (УНЭП) — подпись, совершённая с использованием любых криптографических средств защиты информации при участии ключа ЭП. При признании такой подписи важно, чтобы по ней можно было установить подписавшую сторону и обеспечить криптографическую стойкость подписанного документа (для обнаружения факта внесения изменений в документ после момента его подписания).
• Усиленная квалифицированная электронная подпись (УКЭП) — обладает схожими с УНЭП характеристиками, при этом содержит квалифицированный сертификат который создан и выдан аккредитованным удостоверяющим центром (УЦ), а также в процессе создания и проверки ЭП обязательно используются соответствующие Российскому законодательству криптопровайдеры.

Далее речь пойдет про усиленную квалифицированную электронную подпись (УКЭП), записанную на предназначенный для этого носитель.

УКЭП существует только с объектом, который ею подписан. То, что у вас на носителе появляется после посещения УЦ – это НЕ подпись.

Очень часто, говоря про электронную подпись, проводят аналогии с обычной подписью на бумаге. Если продолжать такое сравнение, то ваш носитель с ключевой парой на нем – это «ручка». И только когда вы примените эту «ручку» к документу, получите саму подпись.

Теперь давайте подробнее про «ручку». В нашем примере ручка состоит из трех частей:

• Носитель (может быть активным и пассивным);
• Закрытый ключ;
• Открытый ключ.

Закрытый и открытый ключи вместе составляют ключевую пару. Создание ключевой пары выполняется специальным криптографическим программным обеспечением (оно может быть установлено в УЦ, может у вас на компьютере, а может на самом носителе). По текущим требованиям создание ключевой пары выполняется владельцем этой самой пары, то есть вами.

Закрытый ключ (он же секретный) никому разглашать нельзя. Если его кто-то узнал, то ваша ключевая пара скомпрометирована.
Именно закрытый ключ участвует в процессе подписания электронных документов. Возвращаясь к аналогии с ручкой – это чернила.
Срок годности этих чернил год и три месяца, если вы используете пассивный носитель (в случае активного – 3 года). После этого вам приходится менять ключевую пару.

Открытый ключ можно показывать всем. Именно значение открытого ключа заносится в сертификат ключа проверки электронной подписи (он же просто «сертификат»), который потом используется при проверке вашей подписи под документом.
Часто бывает, что понятия «открытый ключ» и «сертификат» приравнивают друг к другу, но в сертификате содержится больше информации, чем в открытом ключе. У сертификата есть еще важное свойство – его выдает УЦ.
Главная задача УЦ – достоверно определить, что вы – это вы. Только после получения сертификата от аккредитованного УЦ ваша ключевая пара может использоваться для создания УКЭП.

Возвращаемся к нашей «ручке»: сертификат – это наклейка на ней с указанием, что это ваша ручка и она отвечает нужным требованиям (квалифицированная), а открытый ключ – одна из надписей на этой этикетке, которая помогает проверить, что документ был подписан именно вашей «ручкой».

Теперь давайте поговорим про носитель (корпус вашей «ручки»), который часто называют «токен».
Носитель (токен) — это специальная защищенная флешка. Представьте, что у вас не простая шариковая ручка, а такая, где нужно сперва ввести PIN-код, а потом только можно будет что-то написать.

Активный токен в отличие от пассивного содержит в себе криптографию.
Еще представьте, что при подписании документа на бумаге вам необходимо под документ положить специальную подложку (это как раз и есть программное криптографическое средство, устанавливаемое на компьютер), иначе ручка писать не будет. При использовании активного токена такая «подложка» более тонкая (простая), а самые важные функции реализованы внутри «ручки».
В случае пассивного токена все чернила (закрытый ключ) в момент подписания как бы на время вытекают в эту подложку и там создают подпись. Теоретически их даже можно перекачать в другую ручку.
В отличие от пассивного, активный токен никогда не отдает все чернила наружу.
Чтобы токен мог работать в активном режиме, создание ключевой пары надо проводить исключительно с использованием его внутренних криптографических возможностей. В противном случае носитель становится пассивным.

Экспортируемость и извлекаемость ключей

Есть два понятия, которые часто путают и не всегда верно понимают: экспортируемость и извлекаемость закрытого ключа электронной подписи.
Оба этих свойства привязаны к закрытому ключу и связаны с моментом его создания.

Свойство экспортируемость (неэкспортируемость) присваивается закрытому ключу на этапе создания ключевой пары. Делается это настройками криптографического программного обеспечения, с помощью которого создается ключевая пара. Если закрытый ключ экспортируемый, то его можно свободно копировать как любой файл (Ctrl+C). Если ключ записан на специализированный носитель (а не простую флешку), то для копирования необходимо знать еще и PIN-код. Логично, что возможность копирования удобна для использования ключа в нескольких местах одновременно, но не приветствуется регуляторами, потому что повышается риск неправомерного использования закрытого ключа.

Свойство извлекаемость (неизвлекаемость) зависит от места генерации ключевой пары.
Неизвлекаемые ключи могут жить только в активных (криптографических) ключевых носителях.
Криптографический ключевой носитель – это маленький компьютер, который делает подпись сам и никогда и никому «не показывает» закрытый ключ.
Чтобы носитель работал как активный, генерацию ключевой пары необходимо проводить на нем с использованием его аппаратных возможностей.

Когда закрытый ключ извлекаем, то во время подписания он копируется с ключевого носителя в большой компьютер, в область памяти криптографического ПО, которое формирует подпись под документом. Затем эта копия уничтожается (во всяком случае должна).

Извлекаемые ключи могут быть экспортируемыми и неэкспортируемыми.
Неизвлекаемые ключи «по праву рождения» не имеют возможности экспорта (создания копии). То есть неизвлекаемые ключи могут быть только неэкспортируемыми.

По новым правилам закрытый ключ генерального директора не может быть экспортируемым.

Использование обычных флешек для хранения ключей

Ген. директорам такая опция официально не доступна, а вот физические лица вполне могут позволить себе в УЦ записать ключевую пару на обычную флешку.

Преимущества решения на простой флешке: дешево, можно скопировать сколько угодно раз, можно, придя домой, положить в реестр компьютера.
Недостатки: слабая защищенность, возможность случайного удаления вместе с иными файлами на носителе, попадание вируса, который сделает недоступным закрытый ключ.
Со специальным ключевым носителем всё наоборот.

ЕГАИС и ЭП от ФНС

Учитывая специфику работы ЕГАИС, можем дать следующие рекомендации:

1. Если вы работаете с ЕГАИС, то при генерации ключевой пары (открытый и закрытый ключи) и получении сертификата УКЭП вам надо предусмотреть 2 момента:

• Использовать активный (криптографический) ключевой носитель;
• Генерацию ключевой пары выполнять при помощи носителя.

Приходите в ФНС, говорите, что нужна электронная подпись для работы в том числе с ЕГАИС, просите «выпустить ключевую пару средствами носителя». В чем отличие? Если генерация ключевой пары осуществляется программным криптопровайдером, а потом контейнер записывается на носитель, то носитель потом работает в пассивном режиме. Если же при выпуске используются аппаратные возможности носителя, то носитель дальше работает в активном режиме – используется аппаратная криптография. Это нужно, так как в программном обеспечении ЕГАИС все заточено именно под криптографические ключевые носители и неизвлекаемые ключи электронной подписи.

2. Если вы не работаете с ЕГАИС, то вам это не важно. Но если вы в дальнейшем решите начать торговать алкоголем, то ключевую пару придется перевыпустить с учетом вышеуказанных особенностей.

3. Если у вас много точек и продажу алкоголя осуществляют ваши сотрудники, то через год все они должны будут иметь от вас машиночитаемою доверенность (МЧД). Похоже, что такую МЧД надо будет предварительно направить в ЕГАИС. Если вы будете это делать через портал ЕГАИС, то вам снова потребуется правильно выпущенная ключевая пара. Если ЕГАИС будет работать с блокчейном ФНС, то возможно такой проблемы не возникнет и особые условия при выпуске ключевой пары вам соблюдать не понадобится.

Можно ли этим же ключом работать в иных сервисах и отправлять отчетность? Здесь не должно возникнуть сложностей. На рабочем месте надо будет использовать криптопровайдеры, поддерживающие активные ключевые носители, например КриптоПро CSP (последний не ниже 5-ой версии) и установить в браузер соответствующий плагин для работы с нужным порталом.