Электронная цифровая подпись: полный обзор

Содержание статьи

Электронная цифровая подпись сейчас на слуху — многие современные компании потихоньку переходят на электронный документооборот. Да и в повседневной жизни ты наверняка сталкивался с этой штукой.

Если в двух словах, суть ЭЦП очень проста: есть удостоверяющий центр, есть генератор ключей, еще немного магии, и вуаля — все документы подписаны.

Осталось разобраться, что же за магия позволяет цифровой подписи работать.

Это пятый урок из цикла «Погружение в крипту». Все уроки цикла в хронологическом порядке:

  • Урок 1. Исторические шифры. Основы и исторические шифраторы. Как работают (и анализируются) шифры сдвига, замены, Рихарда Зорге, шифр Вернама и шифровальные машины
  • Урок 2. Распределение ключей. Что это такое, как выполняется распределение ключей и как выбрать криптостойкий ключ
  • Урок 3. Современные отечественные шифры. Что такое сеть Фейстеля и какими бывают отечественные блочные шифры, используемые в современных протоколах, — ГОСТ 28147—89, «Кузнечик»
  • Урок 4. Современные зарубежные шифры. В чем разница между 3DES, AES, Blowfish, IDEA, Threefish от Брюса Шнайера и как они работают
  • Урок 5. Электронная подпись. Виды электронных подписей, как они работают и как их использовать (ты здесь)
  • Урок 6. Квантовая криптография. Что это такое, где используется и как помогает в распределении секретных ключей, генерации случайных чисел и электронной подписи

Если вспомнить формальное определение, то ЭЦП — это реквизит электронного документа. Другими словами, последовательность битов, вычисленная уникально для каждого конкретного сообщения.

Подпись может быть вычислена как с применением секретного ключа, так и без него. Без секретного ключа подпись представляет собой просто код, который может доказать, что документ не был изменен.

С использованием секретного ключа подпись докажет целостность сообщения, позволит убедиться в его подлинности и аутентифицировать источник.

Если ты читал вторую часть нашего цикла, то помнишь, что существуют симметричный и асимметричный подходы к шифрованию. С электронной подписью дела обстоят очень похоже — есть подписи с симметричным механизмом, а есть с асимметричным.

Симметричный механизм подписи малоприменим на практике — никому не хочется генерировать ключи для каждой подписи заново. А как ты помнишь, именно в одинаковых ключах кроется фишка симметричной криптографии.

  • В лучших традициях асимметричной криптографии — имеем пару открытый и секретный ключ. Но не спеши пролистывать все это описание. Электронная подпись концептуально отличается от шифрования применением ключей, описанного ранее.
  • От документа или сообщения подсчитывается хеш-функция, которая сократит сообщение любого объема до определенного количества байтов.
  • Посредством криптографических преобразований вычисляется сама электронная подпись. В отличие от асимметричного шифрования, подпись основана на закрытом ключе, а вот проверить с помощью открытого ключа ее может любой его обладатель. Если помнишь, в шифровании все происходит наоборот: шифруют для нас на открытом ключе, а вот расшифровывать мы будем с помощью секретного ключа.
  • Электронная подпись предоставляется вместе с исходным документом на проверку. По полученной композиции можно доказать, что документ с момента вычисления подписи не был изменен.

Электронная цифровая подпись: полный обзор

Схемы электронной подписи так же многообразны, как и способы шифрования. Чтобы схема подписи была стойкой, нужно, чтобы она основывалась на трудновычислимой математической задаче. Есть два типа таких задач: факторизация больших чисел и дискретное логарифмирование.

Рассмотрим на практике электронную подпись на основе знаменитого алгоритма RSA. Шифрование RSA мы рассматривать не стали — это мейнстрим, и в той же «Википедии» есть его подробное описание.

Причина стойкости RSA кроется в сложности факторизации больших чисел. Другими словами, перебором очень трудно подобрать такие простые числа, которые в произведении дают модуль n. Ключи генерируются одинаково для подписи и для шифрования.

Электронная цифровая подпись: полный обзор

Когда ключи сгенерированы, можно приступить к вычислению электронной подписи.

Электронная цифровая подпись: полный обзор Электронная цифровая подпись: полный обзор

RSA, как известно, собирается уходить на пенсию, потому что вычислительные мощности растут не по дням, а по часам. Недалек тот день, когда 1024-битный ключ RSA можно будет подобрать за считаные минуты. Впрочем, о квантовых компьютерах мы поговорим в следующий раз.

В общем, не стоит полагаться на стойкость этой схемы подписи RSA, особенно с такими «криптостойкими» ключами, как в нашем примере.

Это вторая сложная проблема, на которой основаны цифровые подписи. Для начала хорошо бы усвоить, что такое дискретный логарифм. Для кого-то такое словосочетание может звучать пугающе, но на самом деле это одна из самых простых для понимания вещей в этой статье.

Предположим, дано уравнение 4x = 13 (mod 15). Задача нахождения x и есть задача дискретного логарифмирования. Почему же она так сложна для вычисления? Попробуй решить это уравнение перебором! Компьютер, ясное дело, будет более успешен, но и задачи дискретного логарифмирования обычно далеко не так просты. Возьмем для примера схему Эль-Гамаля.

Электронная цифровая подпись: полный обзор Электронная цифровая подпись: полный обзор

Даже если не вникать в схему, понятно, что такой алгоритм сложнее. Кроме того, нигде уже не используется простой модуль, его сменили эллиптические кривые. Эллиптическая кривая — это кривая, которая задана кубическим уравнением и имеет невообразимо сложное представление.

Задача решения логарифма в группе точек, которые принадлежат эллиптической кривой, вычислительно сложная, и на данный момент не существует таких мощностей, которые решали бы это уравнение за полиномиальное время, если длина секретного ключа составляет 512 бит.

Согласно задаче дискретного логарифмирования, невероятно сложно найти на кривой две такие точки, которые связывает операция возведения в некоторую степень.

В России, как и во многих развитых странах, электронная подпись имеет официальный юридический статус. У нас этот факт регламентирует закон № 63-ФЗ «Об электронной подписи». Однако он утверждает, что юридической силой обладает далеко не любая электронная подпись, а только соответствующая определенным критериям:

  • подпись сгенерирована посредством криптографического преобразования с секретным ключом;
  • этот ключ и соответствующий ему открытый ключ выданы квалифицированным удостоверяющим центром;
  • по подписи можно достоверно установить ее обладателя.

Подпись также должна быть вычислена средствами, соответствующими требованиям закона. Этим требованиям удовлетворяет отечественный алгоритм шифрования ГОСТ 34.10—2012.

Он использует математический аппарат эллиптических кривых, является достаточно стойким и официально используется для разработки криптографических средств, реализующих электронную подпись.

Для того чтобы попробовать неквалифицированную подпись — без сертификата удостоверяющего центра, можно воспользоваться известной PGP. Потестировать подпись можно, к примеру, на сайте ReadVerify.

Стоит сказать, что в нашей стране электронная подпись используется чаще, чем можно себе представить. В банках, налоговых, торгово-закупочных операциях, бухгалтерии — во всех этих организациях используется или внедряется ЭЦП. Электронная подпись отважно борется со злом бюрократии, однако до полной победы еще далеко.

За рубежом электронный документооборот процветает еще дольше. Официальный стандарт электронной подписи в США DSS (Digital Signature Standard) также использует эллиптические кривые и основан на описанной выше схеме Эль-Гамаля.

Помимо прочего, электронная подпись используется в криптовалютах, в частности — в Bitcoin. У каждого пользователя Bitcoin есть пара из секретного и открытого ключа. Хеш-значение открытого ключа служит основным адресом для передачи монет. Это значение не секретно, и сообщать его можно кому угодно. Но по значению хеша вычислить значение открытого ключа невозможно.

Сама пара ключей будет использована лишь однажды — при передаче прав собственности. На этом жизнь пары ключей заканчивается.

  • PUB1 — публичный ключ;
  • PRIV1 — секретный ключ;
  • HASH1 или HASH(PUB1) — хеш-значение открытого ключа (биткойн-адрес);
  • HASH2 или HASH(PUB2) — хеш открытого ключа следующего владельца.

Вот как устроен сам процесс передачи прав собственности на биткойны.

  1. Владелец монеты открыто сообщает хеш своего публичного ключа HASH(PUB1), это и будет идентифицировать биткойн.
  2. До момента продажи оба ключа PUB1, PRIV1 продавца остаются в секрете. Известен только HASH(PUB1) и соответствующий ему биткойн.
  3. Как только появляется покупатель, владелец формирует открытое письмо, в котором указывает адрес биткойна HASH(PUB1) и хеш-значение публичного ключа нового владельца HASH(PUB2). И конечно же, подписывает письмо своим секретным ключом PRIV1, прилагая публичный ключ PUB1.
  4. После этого пара ключей владельца PUB1 и PRIV1 теряют свою актуальность. Публичным ключом можно проверить само письмо, узнать новый адрес монеты.
Читайте также:  Когда откроется «Макдоналдс» в России под новой вывеской

Электронная цифровая подпись: полный обзор

О втором собственнике ничего не известно, кроме HASH(PUB2), до тех пор пока он не передаст права третьему владельцу. И эта цепочка может быть бесконечной.

Подписывая передачу прав с использованием ЭЦП, собственник подтверждает не только свою личность, но и свое согласие на проведение сделки. То есть вернуть монетку он уже не может и с этим согласился, подписавшись электронной подписью.

Благодаря HASH(PUB) получается двойная защита. Первая загадка — узнать публичный ключ по его хешу. Вторая загадка — подписаться чужим секретным ключом.

Такая технология построения цепи передачи прав и называется блокчейном. Благодаря этой технологии можно отследить историю владения до самых истоков, но изменить эту историю никак нельзя.

Будущее неразрывно связано с криптографией. В один прекрасный момент при получении паспорта наши дети будут генерировать электронную подпись и покупать чипсы в ларьке за криптовалюту. Что готовит нам будущее с точки зрения развития криптографии, посмотрим в следующей статье на примере квантовых компьютеров.

Цифровой след: разбираемся в тонкостях электронных подписей

Если по-научному, то электронная подпись — это результат криптографических преобразований документа с помощью специальной программы. Проще говоря, к электронному документу прикрепляется сгенерированный системой файл. Он подтверждает сразу два важных момента: первый — что документ подписан, второй — кто именно это сделал и какими полномочиями он обладает.

С помощью электронной подписи ещё можно точно определить дату подписания и целостность документа: если кто-то вдруг решит внести изменения, система это зафиксирует. Правда, всё зависит от нюансов самой подписи и сервиса, где она применяется. Это возможно, только если вы используете усиленную электронную подпись. Подробнее о видах и их особенностях поговорим позже.

Несмотря на то что по форме электронная подпись не имеет ничего общего с собственноручной, возможностей для её применения гораздо больше, чем кажется на первый взгляд. Впрочем, как и у любого другого цифрового инструмента. О тонкостях использования электронной подписи можно почитать в законе. Если разложить всё по полочкам, с её помощью дистанционно вы можете:

  • получить государственные услуги, оформив обращение, скажем, через портал госуслуг;
  • решить вопросы, связанные с работой Федеральной налоговой службы, — от оформления налогового вычета до предоставления налоговых льгот;
  • оформить заявление на поступление в детский сад, школу или любое другое учебное заведение;
  • заключить договор, в том числе купли-продажи недвижимости;
  • заверить доверенность;
  • взаимодействовать с ГИБДД — переоформить транспортное средство, оплатить штраф;
  • подать прошение, судебный иск или жалобу;
  • подтвердить долговую расписку;
  • участвовать в электронных торгах;
  • подписывать любые документы, в том числе с работодателем.

Последний пункт особенно интересен, поскольку с переходом на удалённый и гибридный форматы работы многие компании задумались о внедрении кадрового электронного документооборота. И здесь без цифровых подписей — никак.

Сказать, что компания переходит на кадровый документооборот, гораздо проще, чем сделать. Далеко не все работодатели готовы перестраивать привычные процессы и приобретать электронные подписи для сотрудников, а эта обязанность ложится на их плечи.

Даже несмотря на то что подобная автоматизация экономит время и силы работников и деньги компании, до полноценного перехода дошли немногие. Но если уж дошли — это может быть отличным показателем зрелости процессов в организации.

Так что к вопросам на собеседовании о круге потенциальных задач и почему открылась вакансия можно добавить ещё один: как обстоят дела с электронным документооборотом.

Электронная цифровая подпись: полный обзорНедавно в Трудовой кодекс РФ добавили три новые статьи, которые касаются электронного документооборота в сфере трудовых отношений. Большинство кадровых документов сегодня можно перевести в цифровой вид: это и трудовой договор, и приказ о приёме на работу, и личная карточку сотрудника. Так что не удивляйтесь, если вместо привычных бумажных версий типовых документов при трудоустройстве вы получите электронные.Алексей Сабликов, ведущий специалист отдела по работе с корпоративными клиентами «Такском»

Электронная подпись пригодится и в том случае, если в компании до сих пор используют служебные или объяснительные письма, просят подтвердить ознакомление с приказами, локальными нормативными актами и прочими внутрикорпоративными документами.

Простой пример: вам приходит на почту письмо, где директор просит с 11 мая являться на работу не к 9:00, а к 8:30. В большинстве случаев для подтверждения не нужна какая-то особенная подпись, даже простого «Всё получил» в письме, отправленном корпоративной почтой, будет достаточно.

Что интересно, такой ответ тоже будет являться электронной подписью, правда, самой простой. Но есть один важный нюанс: о способе обмена, а значит, и о том, что может считаться электронной подписью в компании, работодатель и сотрудник должны договориться заранее. Причём письменно.

Как правило, эти моменты отражаются в трудовом договоре или в дополнительных соглашениях.

https://www.youtube.com/watch?v=g82u_Q4z-IQ\u0026pp=ygVP0K3Qu9C10LrRgtGA0L7QvdC90LDRjyDRhtC40YTRgNC-0LLQsNGPINC_0L7QtNC_0LjRgdGMOiDQv9C-0LvQvdGL0Lkg0L7QsdC30L7RgA%3D%3D

Для подписания трудового договора или документа о материальной ответственности простой электронной подписью не обойтись.

Даже если работодатель предлагает вам поставить автограф на pdf-файле, такой документ не будет иметь юридической силы в суде.

Нужны инструменты серьёзнее — усиленная неквалифицированная или усиленная квалифицированная электронная подпись. Самое время разобраться, чем они отличаются друг от друга.

Электронная цифровая подпись: полный обзор

Это самый разнообразный и уязвимый вид электронной подписи. К ПЭП можно отнести и подписанный неровным почерком pdf-файл, и письмо в почте, отправленное на запрос, и логин с паролем — авторизацию пользователя в системе, и даже введённый код от банковского приложения, подтверждающий оплату.

Есть сервисы, которые полностью заточены под использование простой электронной подписи, например: Федеральная налоговая служба, «Госуслуги» или интернет-банки. Без авторизации их полноценное использование невозможно.

Плюс, как уже разбирали, простая электронная подпись пригодится для работы с внутренним документооборотом компании.

Как известно, чем шире распространение, тем больше рисков. ПЭП проще всего подделать, поэтому это неполноценный аналог собственноручной подписи, а значит, и принимают её не везде.

Электронная цифровая подпись: полный обзорВ определённой системе может быть свой формат электронной подписи, но она будет котироваться только внутри неё. ПЭП — самый уязвимый вид подписи. Очень легко в суде представить всё так, что документ подписал другой человек или, что ещё хуже для работодателя, сама компания. Кроме того, легко внести изменения в первоначальную версию файла — с ПЭП отследить правки невозможно.Татьяна Нечаева, старший юрист по трудовому праву и договорной работе hh.ru

Такая подпись действует внутри той системы, для которой её создавали. Главное отличие УНЭП от простой электронной подписи в том, что она зафиксирована внутри конкретного сервиса. Иначе говоря, система умеет распознавать пользователя по его цифровым следам.

Для этого применяются средства шифрования, которые и преобразуют информацию, чтобы ограничить к ней доступ. Ключ к такой подписи почти невозможно подобрать вручную, поскольку он представляет собой сложный набор символов.

Это уже не простой логин и пароль или код из СМС, а полноценный инструмент, который может гарантировать, что документ подписал конкретный человек в определённое время и не вносил в него никаких изменений. Последнее особенно важно как для работодателя, так и для сотрудника, чтобы избежать возможных недоразумений.

Бывает так, что вместо отпуска с 15 мая в заявлении на этапе утверждения появляется дата 17 мая, а в приказе о раннем приходе на работу значится уже не 8:30, а 9:00. С УНЭП таких ситуаций не будет.

Как и в случае с простой электронной подписью, стороны должны договориться о том, что усиленной неквалифицированной подписи они доверяют.

Тогда можно вести электронный документооборот между компанией и сотрудниками, клиентами, партнёрами. Однако всех возможностей с УНЭП тоже не попробовать.

Поскольку создавать и использовать её может кто угодно, большого доверия у государства к такой подписи нет. Так что ту же сделку покупки или продажи квартиры с ней не оформить.

Это самая «взрослая» из всех вариантов электронных подписей, и выдают её специальные аккредитованные Минкомсвязью удостоверяющие центры. Этим УКЭП и отличается от УНЭП.

Электронная цифровая подпись: полный обзорУКЭП приравнена к рукописной подписи. Я бы рекомендовал сразу оформлять её, поскольку только усиленная квалифицированная электронная подпись даёт возможность работы со всеми сервисами, включая площадки проведения электронных торгов. Помимо оформления подписи, ещё необходимо установить программное обеспечение для её использования. И нужно сразу понимать, где будет храниться УКЭП — на компьютере, токене (защищённая «флешка». — Прим. ред.) или на внешнем диске, фактически это ваш идентификатор, серьёзный инструмент, и отношение к нему должно быть соответствующим.Алексей Сабликов, ведущий специалист отдела по работе с корпоративными клиентами «Такском»

Сертификат усиленной квалифицированной подписи необходимо обновлять ежегодно. Особенно важно помнить об этой важной детали компаниям и сотрудникам, участвующим в тендерах. Несвоевременное продление УКЭП грозит многомиллионными потерями. Перевыпустить её легко — достаточно повторно обратиться в удостоверяющий центр.

То же самое касается и утерянной электронной подписи. Например, если она хранилась на токене.

Первое, что нужно сделать, — приехать в удостоверяющий центр и написать заявление, чтобы подпись заблокировали и при необходимости выпустили новую, но это того стоит — лучше потратить немного времени, сэкономив силы и ресурсы на разбирательствах с мошенниками.

Интересный факт! При желании работодатель может стать посредником между удостоверяющим центром и сотрудниками, тогда УКЭП будут оформлять и выдавать прямо в офисе компании.

Читайте также:  Когда откроется «Макдоналдс» в России под новой вывеской

Если УКЭП даёт почти стопроцентную защиту и гарантирует подлинность авторства, то при использовании любой другой подписи велик риск подлога, выражаясь юридическим языком.

https://www.youtube.com/watch?v=g82u_Q4z-IQ\u0026pp=YAHIAQE%3D

С точки зрения судебных споров и перспектив, всегда в выигрыше будет тот, кто больше защищён. Такие вещи лучше объяснять на конкретных кейсах.

Дано: сотрудник использовал ПЭП, подписав документ о неразглашении коммерческой тайны. Компания подала на него в суд, обвиняя в сотрудничестве с конкурентами, а он, в свою очередь, направил встречный иск, утверждая, что работодатель подделал его подпись.

Решение: компании придётся предоставить множество доказательств, что никто не взламывал учётную запись сотрудника и не «расписывался» за него.

Если уж дело доходит до суда, возникают разные ситуации, даже, на первый взгляд, самые невообразимые, поэтому многие работодатели предпочитают иметь дело исключительно с УКЭП, несмотря на её относительно высокую стоимость. Её учёт и хранение регламентируется федеральным законодательством, а значит, есть все гарантии, что человек самостоятельно подписывает документы и несёт за это полную ответственность.

Электронная цифровая подпись: полный обзорВ hh.ru мы давали работникам право выбора: оформить УКЭП или УНЭП. Сотрудники сами оценивали риски и возможности. Многие сразу решили, что хотят серьёзную подпись — УКЭП, чтобы использовать её не только на работе, но и в обычной жизни. Мне кажется, это здорово, когда за счёт работодателя сотрудник может получить удобный инструмент и обмениваться кадровыми документами, решать личные задачи.Татьяна Нечаева, старший юрист по трудовому праву и договорной работе hh.ru

Всё зависит от того, о какой электронной подписи идёт речь. Скажем, Федеральная налоговая служба для работы пользователей на своём портале предоставляет её автоматически. Но, опять же, возможности такой подписи ограничены одной системой.

Для получения УНЭП следует обратиться в МФЦ, а за УКЭП — исключительно в аккредитованный удостоверяющий центр, захватив документы: паспорт, СНИЛС и ИНН.

Далее заполняется заявление на выпуск электронной подписи. В удостоверяющем центре заключается договор, оплачивается услуга, выдаётся УКЭП, а вместе с ней и программное обеспечение для работы.

В МФЦ всё бесплатно — после оформления заявки можно получать УНЭП.

В среднем электронная подпись обходится в 2 000 ₽. Цена зависит от тарифа удостоверяющего центра и от параметров подписи. Например, УКЭП для участия в электронных торгах стоит дороже — от 3 500 до 10 000 ₽.

В случае с УКЭП за неё должна платить компания. Если у сотрудника с предыдущего места работы по наследству осталась такая электронная подпись, работодатель может сэкономить. Но организация не обязана предоставлять исключительно УКЭП, по закону для подписания тех же кадровых документов годится и УНЭП, который оформляется бесплатно.

Интересный факт! На стоимость и вид электронной подписи никак не влияет статус сотрудника. Есть вероятность, что генеральному директору для выполнения задач вполне сгодится УНЭП, а рядовому менеджеру по закупкам необходима самая дорогая — УКЭП. Поэтому при выборе подписи важно отталкиваться от потребностей, а не от уровня позиции человека в компании.

Ключевое преимущество электронной подписи перед обычной в том, что всё можно делать дистанционно. Сотрудникам нет необходимости приходить в офис и тратить время на подписание документов, фрилансерам — ждать курьеров или идти на почту, чтобы отправить подписанные акты, приложения и прочие бумаги.

Усиленная электронная подпись защищает своего владельца от множества манипуляций и махинаций, если, конечно, она лежит в сохранном месте. И ещё один весомый «плюсик в карму» — возможность сберечь бумагу, а значит — проявить социальную ответственность.

В общем, электронная подпись — это удобно и прогрессивно.

При этом у медали традиционно две стороны. Нет смысла делать электронную подпись, если вы собираетесь обмениваться документами раз в год с каким-нибудь работодателем, а всё остальное время держать токен в сейфе.

Это всё равно что купить супермощный ноутбук только для просмотра роликов в интернете. Гораздо продуктивнее использовать электронную подпись по полной и подписывать ею любые возможные документы и заявления.

Тогда деньги на ту же УКЭП приобретут статус непотраченных, но вложенных.

Важно понимать, что электронной подписью невозможно подписать документы задним числом, как это часто бывает при документообороте с партнёрами. Тогда придётся вернуться к привычным бумажным вариантам, а это наверняка вызовет вопросы у проверяющих органов.

Электронная цифровая подпись: полный обзорЭлектронная подпись сокращает время трудоустройства — вы не тратите полдня на подписание кадровых бумаг в офисе, и помогает в разных областях жизни. Сейчас появляется большое количество площадок, где может использоваться электронная подпись, соответственно, становится больше сфер для её применения. Прежде всего, это удобно.Алексей Сабликов, ведущий специалист отдела по работе с корпоративными клиентами «Такском»

А ещё электронная подпись помогает более осознанно подходить к процессу подписания документов. Сегодня многие стали задумываться о таких важных вещах, как информационная безопасность, цифровая гигиена, и прочих понятиях из диджитал-среды. Это всё про цифровые следы, которые мы оставляем, поэтому крайне важно, чтобы каждый наш сделанный шаг вёл к намеченной цели.

Ещё о трудовых отношениях

???? Материал был полезен? Поделитесь им с друзьями в соцсетях!
Кнопка репоста — в шапке статьи

К другим статьям

Принцип работы ЭЦП | Как работает цифровая подпись

Электронная цифровая подпись: полный обзор

Из нашей статьи вы узнаете:

ЭЦП — электронная (цифровая) подпись — это аналог рукописной подписи. Она выполняет ту же функцию — обеспечивает юридическую значимость для документов.

Только подписывают с помощью ЭЦП документы не бумажные, а электронные. Кроме того, электронная подпись фиксирует информацию, которая была в документе на момент подписания, тем самым подтверждая её неизменность.

В статье рассмотрим, что значит электронная подпись.

Как устроена электронная подпись

Электронная цифровая подпись — это устройство со сложной технической составляющей.

Электронная цифровая подпись: полный обзор

Электронная подпись состоит из двух основных частей:

  1. Открытый ключ, он же сертификат.
  2. Закрытый ключ — криптографическая часть.

Эти составные части выполняют разные функции: с помощью закрытого ключа, доступного только владельцу, документ шифруется, а с помощью сертификата, доступного для всех, документ дешифруется. Таким образом, достигается цель использования ЭЦП — подтверждается то, кем был подписан документ, и заверяется его неизменность с момента подписания.

Закрытый ключ не содержит в себе ничего, кроме механизма, с помощью которого он может шифровать документы. Сертификат же несёт в себе такую полезную информацию, как сведения о владельце, сведения об удостоверяющем центре, срок действия цифровой электронной подписи и т.д. Сертификат выступает в роли главного носителя информации о ЭЦП.

Программы для работы и алгоритмы шифрования

С ЭЦП не получится работать сразу. Чтобы шифровать и подписывать документы, недостаточно только иметь сертификат и закрытый ключ, для работы нужно устанавливать специальные программы. С помощью этих программ, которые работают по определённому стандарту шифрования (в России — ГОСТ 34.10-2018), обеспечивается связь закрытого и открытого ключа с документами.

Одной из самых популярных программ-криптопровайдеров в России является «КриптоПро CSP». С её помощью можно подписывать и шифровать документы, проверять сертификаты на подлинность, контролировать целостность соответствующего программного обеспечения.

Принцип работы электронной подписи

Электронная подпись работает по асимметричному принципу шифрования. То есть документ зашифровывается с помощью закрытого ключа, а расшифровывается с помощью открытого.

Электронная цифровая подпись: полный обзор

Объясним принцип работы ЭЦП на пальцах. Подписание документа производится в несколько этапов:

  1. Хеш документа шифруется с помощью закрытого ключа.
  2. Полученная подпись добавляется к документу.
  3. К документу прикрепляется сертификат проверки.

Так как сертификаты, выдаваемые удостоверяющим центром, тоже подписываются с помощью электронной подписи, подменить сертификат невозможно. На сайте удостоверяющего центра, как правило, можно скачать открытый ключ проверки, хеш которого должен совпадать с хешем открытого ключа владельца. Таким образом доказывается его достоверность.

Виды электронной подписи

Существует три вида ЭП, которые используют для различных ситуаций. Рассмотрим, какой может быть электронная подпись, понятие, виды и применение.

  • Простая электронная подпись (ПЭП) — представляет из себя логин и пароль. Используется для авторизации и аутентификации пользователя в интернете или различных автоматизированных сервисах;
  • Неквалифицированная электронная подпись (НЭП) — подойдёт для внутреннего и партнёрского электронного документооборота. Чтобы работать с контрагентами, потребуется заключить дополнительное соглашение;
  • Квалифицированная электронная подпись (КЭП) — равнозначна рукописной, придаёт документам юридическую значимость, имеет высокую степень защиты информации. Для создания цифровой подписи используются средства криптографической защиты, которые соответствуют требованиям законодательства. Технические характеристики КЭП регулирует государство. Данный вид подписи подходит для сдачи электронной отчётности в государственные органы, участия в закупках по 223-ФЗ и 44-ФЗ и ЭДО с контрагентами без дополнительных соглашений.

Как происходит подписание документа с помощью ЭЦП

Система подписания документов с помощью электронной подписи выглядит следующим образом:

  1. Электронная подпись присоединяется не к цифровому документу. ЭП ставится на его сжатую версию — хэш. Таким образом, сокращается время шифрования, так как хэш файла весит меньше, чем сам файл.
  2. Для создания хэша применяются криптографические хэш-функции. При данном способе объёмный текст файла не делится на отдельные модули и сохраняет свой порядок.
  3. После создания хэша, закрытый ключ его шифрует и передаёт получателю вместе с сертификатом электронной подписи.
  4. Открытый ключ ЭП адресата расшифровывает информацию и проверяет подлинность сертификата отправителя.
Читайте также:  Льготы и выплаты для участников военной спецоперации

Электронная цифровая подпись: полный обзор

Закрытый ключ электронной подписи хранят в памяти компьютера или физических носителях: USB-токенах и смарт-картах. Согласно закону «Об электронной подписи» 63-ФЗ, ответственность за хранение закрытого ключа несёт владелец.

Как начать работать с квалифицированной электронной подписью

Для работы с КЭП требуется настроить рабочее место: установить СКЗИ и специальный плагин на компьютер. А получить квалифицированную электронную подпись можно только в удостоверяющих центрах. Финансовым участникам рынка КЭП выдают в Центробанке, работникам бюджетных учреждений — в Казначействе, а индивидуальным предпринимателям и юрлицам в УЦ ФНС и её доверенных лиц.

Для ускоренного выпуска квалифицированной ЭП юрлица и ИП рекомендуем воспользоваться услугой Получение КЭП в ФНС под ключ. Специалисты УЦ «Калуга Астрал» помогут сэкономить время на получение электронной подписи и настройку рабочего места, а пройти идентификацию и получить подпись вы сможете через филиалы нашего партнёра — доверенного лица УЦ «Основание».

Работники индивидуальных предпринимателей получают квалифицированную подпись только в удостоверяющих центрах, которые аккредитованы Минцифры.

УЦ «Калуга Астрал» входит в перечень аккредитованных удостоверяющих центров и имеет все необходимые лицензии для выпуска электронных подписей для физлиц и работников ЮЛ/ИП — «Астрал-ЭТ» и «1С-ЭТП». Данные продукты придают цифровым документам юридическую значимость и позволяют вести деятельность от имени компании.

Электронная цифровая подпись для чайников: с чем ее есть, и как не подавиться. Часть 1

Итак, все чаще в кругах, работающих с документами все чаще звучат слова «электронный документ» и, связанное с ним почти неразрывно «электронная цифровая подпись», иначе — ЭЦП. Данный цикл статей предназначен для того, чтобы раскрыть «тайное знание» о том, что это такое, когда и как это можно и нужно использовать, какие есть плюсы и минусы.

Естественно, статьи пишутся не для специалистов по криптографии, а для тех, кто эту самую криптографию будет использовать, или же только начинает ее изучение, желая стать специалистом, поэтому я старался максимально упростить понимание всего процесса, приводя аналогии и рассматривая примеры.

Зачем нам вообще что-то подписывать? Естественно, чтобы удостоверить, что мы ознакомились с содержимым, согласны (а иногда наоборот, не согласны) с ним. А электронная подпись еще и защищает наше содержимое от подмены. Итак, начать, естественно, стоит с того, что такое электронная цифровая подпись.

В самом примитивном случае это — результат хэш-функции.

Что это такое лучше меня разъяснит википедиа, в нашем же случае главное, что с высокой степенью вероятности ее результат не повторяется для разных исходных данных, а также что результат этой функции мало того, что короче исходных данных, так еще по нему исходную информацию восстановить нельзя. Результат функции называют хэшем, а применение этой функции к данным называют хешированием.

Грубо, можно назвать хэш функцию архивированием, в результате чего мы получаем очень маленькую последовательность байт, но восстановить исходные данные из такого «архива» нельзя.

Итак, мы читаем файлик в память, хэшируем прочитанное. И что, уже получаем ЭЦП? Почти. Наш результат с большой натяжкой можно назвать подписью, но, все же, полноценной подписью он не является, потому что: 1. Мы не знаем, кто сделал данную подпись 2. Мы не знаем, когда была сделана подпись 3. Сама подпись не защищена от подмены никак. 4. Ну и да, хэш функций много, какая из них использовалась для создания этого конкретного хэша? Поэтому применять к хэшу слово «подпись» еще нехорошо, будем называть его дальше просто хэш.

Вы посылаете ваш файл другому человеку, допустим, по почте, будучи уверенными, что он точно получит и прочитает именно то, что вы послали. Он же, в свою очередь, тоже должен хэшировать ваши данные и сравнить свой результат с вашим. Если они совпали — все хорошо. Это значит что данные защищены? Нет.

Ведь хэшировать может кто угодно и когда угодно, и вы никогда не докажете, что он хэшировал не то, что вы послали. То есть, если данные будут перехвачены по дороге злоумышленником, или же тот, кому вы посылаете данные — не очень хороший человек, то данные могут быть спокойно подменены и прохэшированы. А ваш получатель (ну или вы, если получатель — тот самый нехороший человек) никогда не узнает, что он получил не то, что вы отправляли, или сам подменил информацию от вас для дальнейшего использования в своих нехороших целях. Посему, место для использование чистой хэш функции — транспорт данных в пределах программы или программ, если они умеют общаться между собой. Собственно, с помощью хэш функций вычисляются контрольные суммы. И эти механизмы защищают от случайной подмены данных, но не защищают от специальной.

Но, пойдем дальше. Нам хочется защитить наш результат хеширования от подмены, чтобы каждый встречный не мог утверждать, что это у него правильный результат. Для этого самое очевидное что (помимо мер административного характера)? Правильно, зашифровать.

А ведь с помощью шифрования же можно и удостоверить личность того, кто хэшировал данные! И сделать это сравнительно просто, ведь есть ассиметричное шифрование. Да, оно медленное и тяжелое, но ведь нам всего-то и надо — зашифровать маленькую последовательность байт.

Плюсы такого действия очевидны — для того, чтобы проверить нашу подпись, надо будет иметь наш открытый ключ, по которому личность зашифровавшего (а значит, и создавшего хэш) можно легко установить.

Суть этого шифрования в следующем: у вас есть закрытый ключ, который вы храните у себя. И есть открытый ключ. Открытый ключ вы можете всем показывать и раздавать, а закрытый — нет. Шифрование происходит с помощью закрытого ключа, а расшифровывание — с помощью открытого.

Приводя аналогию, у вас есть отличный замок и два ключа к нему. Один ключ замок открывает (открытый), второй — закрывает (закрытый). Вы берете коробочку, кладете в нее какую-то вещь и закрываете ее своим замком.

Так, как вы хотите, чтобы закрытую вашим замком коробочку открыл ее получатель, то вы открытый, открывающий замок, ключик спокойно отдаете ему. Но вы не хотите, чтобы вашим замком кто-то закрывал коробочку заново, ведь это ваш личный замок, и все знают, что он именно ваш.

Поэтому закрывающий ключик вы всегда держите при себе, чтобы кто-нибудь не положил в вашу коробочку мерзкую гадость и не говорил потом, что это вы ее положили и закрыли своим замком.

И все бы хорошо, но тут сразу же возникает проблема, а, на самом деле, даже не одна. 1. Надо как-то передать наш открытый ключ, при этом его должна понять принимающая сторона. 2. Надо как-то связать этот открытый ключ с нами, чтобы нельзя было его присвоить. 3. Мало того, что ключ надо связать с нами, надо еще и понять, какой зашифрованный хэш каким ключом расшифровывать. А если хэш не один, а их, скажем, сто? Хранить отдельный реестр — очень тяжелая задача. Все это приводит нас к тому, что и закрытый ключ, и наш хэш надо хранить в каких-то форматах, которые нужно стандартизировать, распространить как можно шире и уже тогда использовать, чтобы у отправителя и получателя не возникало «трудностей перевода». Как водится у людей, к чему-то единому прийти так и не смогли, и образовалось два больших лагеря — формат OpenPGP и формат S/MIME + X.509. Но об этом уже в следующей статье.

Часть 2

Ссылка на основную публикацию
Adblock
detector