«Подводные камни» простой электронной подписи

    Поводом для написания данной статьи стали многочисленные обсуждения, происходившие между заинтересованными лицами при реализации проектов, включающие функциональность простой электронной подписи (ПЭП). Понятие ПЭП оказалось размытым, количество интерпретаций о том, как подписывать документы ПЭП, было кратно количеству заинтересованных лиц. Статья преследует цель систематизации решений, применяемых в информационных системах для подписания документов ПЭП, с точки зрения действующего законодательства.


    Личная собственноручная подпись


    Исторически сложилось так, что в российском законодательстве нет определения личной собственноручной подписи. Этот вопрос разбирается в большом количестве юридической литературы, и общепринятым толкованием термина «личная собственноручная подпись» является следующее:


    Подпись — уникальная совокупность символов, написанных от руки с помощью специальных оформительских приемов (монограмма, росчерки, штрихи), служащая для определения правоспособности физического лица.


    Под правоспособностью, согласно статье 17 ГК РФ, понимается способность человека иметь гражданские права и нести обязанности с момента рождения до момента смерти. Процесс определения правоспособности получил название «идентификации личности» и происходит через сопоставление человека и набора уникальных характеристик или признаков, присущих данному человеку. К минимально возможному набору таких характеристик, согласно статьям 19 и 20 ГК РФ, относятся имя человека, фамилия человека, и место, где человек преимущественно находится или проживает (место жительства). Если перейти от нормативных понятий к техническим архитектурным понятиям, под идентификацией личности понимается сопоставление внешнего образа человека, сохраненного на некотором устройстве памяти, его имени, фамилии, выраженное в некоторой знаковой системе и месту жительства, выраженное в некоторой системе координат. Физическая архитектура такого сопоставления может быть самой разнообразной. В качестве устройства памяти может выступать как мозг, так и применяться технические средства, например, бумажные (рисунок, фотография) или электронные. В качестве знаковой системы могут выступать речь (система звуков) или письменность. В качестве системы координат могут применяться географическая система координат или нормативная (административно-территориальное деление). Таким образом, суммируя все факты, исторически присущие подписи, можно дать следующее определение подписи:


    Подпись — уникальная совокупность символов, позволяющая сопоставить человека или внешний образ человека и набор признаков, присущих только этому человеку, в целях контроля соблюдения прав или выполнения обязанностей, определенных подписанным документом. Минимальным набором уникальных признаков, позволяющим определить права и обязанности личности, является имя, фамилия человека и его место жительства.


    Связь подписи с правами и обязанностями личности практически неразрывная. Например, через подпись, в целях подтверждения авторства документа, приобретаются права на данный документ, а также обязанность не допускать плагиата. В ряде случаев права и обязанности прописаны в самом документе, например, в документе, удостоверяющем совершение сделок. Перефразируя известный афоризм, можно сказать, что: «Говорим подпись, подразумеваем права и обязанности, говорим права и обязанности, подразумеваем подпись». Права и обязанности через подпись приобретаются как напрямую, так и опосредствованно, через подпись другого человека, в случаях, предусмотренных законодательством. Например, права и обязанности приобретаются через подпись родителей, опекунов и попечителей, через подпись доверенных лиц.


    Электронная подпись


    Нормативным документом, в котором приводится определение электронной подписи(ЭП), является Федеральный Закон "№ 63 от 06.04.2011 «Об электронной подписи" (далее ФЗ-63). В статье 2 ФЗ-63 рассматриваемое понятие определяется так:


    Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.


    Из данного определения вытекает, и в статье 6 ФЗ-63 нормативно зафиксировано, что ЭП является аналогом личной собственноручной подписи, так как главная цель у обеих типов подписей одна — определение лица, подписывающего информацию. Идентификация личности — очень важный момент для юридической значимости ЭП. Полную гарантию достоверного определения лица не дает ни один из видов ЭП, но, в случае неквалифицированной и квалифицированной ЭП, человек лично посещает специальное учреждение — Удостоверяющий Центр (УЦ), аккредитованное государством и уполномоченное для выдачи(замены) ЭП. В случае ПЭП, об обязательности достоверной идентификации личности при выдаче(замене) ЭП часто забывают или способ определения лица вызывает много споров в технической реализации. ФЗ-63, в статье 5 пункт 2, подчеркивая важность идентификации личности, дает следующее определение простой электронной подписи:


    Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.


    Кода, пароли или иные средства, являющиеся элементами ПЭП, имеют обобщающее название — ключи ПЭП. Ключи ПЭП могут иметь публичную и конфиденциальную части. Например, при использовании в техническом решении идентификации личности личного электронного почтового ящика, адрес почтового ящика будет открытой частью ключа, а пароль к нему — закрытой, конфиденциальной частью. ФЗ-63 обязывает строго соблюдать конфиденциальность непубличных ключей ПЭП, так как компрометация приводит к потере юридической значимости.


    Возвращаясь к определению подписи, которое было дано в предыдущих абзацах, мы можем расширить определение ПЭП, раскрыв значение термина «определенное лицо»:


    Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств устанавливает связь человека, подписывающего информацию, с набором признаков, присущих только этому человеку, в целях контроля соблюдения прав или выполнения обязанностей, определенных подписанным документом. Минимальным набором уникальных признаков, позволяющим определить права и обязанности личности, является имя, фамилия человека и его место жительства.


    Основным и практически единственным способом юридического сопоставления человека с набором признаков, присущих данному человеку, является предъявление оригинала удостоверяющего документа, в качестве которого применяется выданное государственными органами удостоверение личности (УЛ). Удостоверение личности содержит фотографию, фамилию и имя, а также указание на место жительства, т.е. весь необходимый набор признаков, установленный законодательством для идентификации. Правила выдачи такого удостоверения всегда предписывают его получение лично владельцем и никем иным и этот факт является юридически значимым: во время выдачи удостоверения установлена связь между человеком, его фотографией, его именем и фамилией, и его местом жительства. Следовательно, задача придания ПЭП юридической значимости сводится к задаче определения связи между государственным УЛ и ключами ПЭП. ФЗ-63, в статье 9 пункт 2, подчеркивает важность определения такой связи, обязывая прописывать правила определения лица, подписывающего электронный документ, в соглашениях о признании электронных документов.


    «Подводные камни» простой электронной подписи


    Все информационные системы (ИС) можно разделить на публичные и закрытые, рассматривая круг пользователей, имеющих возможность создания или отправки электронных документов. Если, для доступа к ИС, человек обязан пройти процедуру проверки оригинала УЛ, то такая ИС будет закрытой, доступ к которой имеет строго определенный круг лиц. ИС, доступ к которой имеет неопределенный круг лиц, не прошедших процедуру проверки УЛ, будет публичной. К закрытым ИС относятся все корпоративные ИС, так как человек, получивший к ней доступ, прошел процедуру оформления на рабочем месте с предъявлением документов и заключением трудового договора.


    Рассмотрим основные способы подписания документов ПЭП, сложившиеся в российских реалиях.


    Первым способом является заключение соглашения о том, что стороны признают документы, отправленные с электронного почтового ящика, подписанными ПЭП. В этом случае открытым ключом является адрес электронной почты, конфиденциальным ключом — пароль к электронному почтовому ящику. Юридически значимой такая ПЭП будет при соблюдении следующего условий:

    1. Почтовый сервис является закрытым, т.е. доступ к нему имеет строго определенный круг лиц, прошедших процедуру проверки оригинала удостоверения личности;
    2. Открытый ключ ПЭП содержится в передаваемом документе (ФЗ-63, статья 9 п.1);
    3. Пароль к почтовому ящику строго конфиденциален, известен только единственному, определенному лицу, прошедшему процедуру проверки оригинала УЛ перед получением пароля (ключа ПЭП) и это зафиксировано в соглашении (ФЗ-63, статья 9, п.2);

    При использовании корпоративной электронной почты обычно соблюдаются все эти условия, т.к. корпоративная почта относится к закрытым ИС, адрес почтового ящика отправителя содержится в передаваемом сообщении, пароль к корпоративному личному почтовому ящику известен только строго определенному лицу. В противоположность этому, использование публичных почтовых сервисов, предоставляющих услуги электронной почты неопределенному кругу лиц, нивелирует юридическую значимость такой ПЭП.


    Вторым способом подписания документов ПЭП является заключения соглашения о том, что документ, созданный в некоторой информационной системе, является подписанным ПЭП пользователя учетной записи. В качестве публичной части ключа здесь выступает логин к учетной записи, в качестве конфиденциальной — пароль к учетной записи. Способ получил очень широкое распространение и самое разнообразное применение. Такую ПЭП используют различные интернет-сервисы, в том числе интернет-банки, многие участники фондового рынка, такой способ используется на федеральном и региональных порталах государственных услуг. Кроме того, такой способ используется внутри организаций для придания юридической ответственности исполнителям, при постановке задач в внутрикорпоративной системе контроля исполнительской дисциплины. Перевод статусов задач в такой системе означает подписание ПЭП своих обязательств по выполнению задачи и штрафные санкции за их неисполнение, если это обговорено в трудовом договоре. Юридически значимой такая ПЭП будет при выполнении следующих условий:

    1. Соглашением установлена однозначная, и не допускающая толкований, связь публичной части ключа ПЭП(логина) с УЛ пользователя учетной записи;
    2. Закрытая часть ключа ПЭП строго конфиденциальна и это зафиксировано в соглашении;

    Исходя из этих условий, вытекает способ получения логина и пароля учетной записи. Обязательно, явно или неявно, при получении логин/пароля должна присутствовать процедура проверки оригинала УЛ. Наиболее простой путь проверить оригинал УЛ, это обязать будущего пользователя ИС произвести личный визит в уполномоченное учреждение и предъявить оригинал УЛ. Так поступают все государственные организации и большинство банковских учреждений. Получить учетную запись в государственной единой системе идентификации и аутентификации (ЕСИА) можно только личным визитом в уполномоченное учреждение, будь то Удостоверяющий Центр, Центр Ростелекома, Многофункциональный Центр(МФЦ) или Почта России. В качестве логина используется СНИЛС, имеющий однозначную связь с человеком и с его УЛ. Внедрение в своих ИС функционала аутентификации, посредством интеграции с ЕСИА, фактически означает выдачу пользователю юридически значимой ПЭП, так как соблюдаются все требования законодательства. А вот удаленная выдача логина/пароля учетной записи, без личного визита, так, чтобы логин/пароль получил статус юридически значимой ПЭП, представляет собой определенные сложности. Нет простого способа проверить данные, которые удаленно вводит пользователь при регистрации в ИС, на достоверность.

    Инфраструктура удаленной идентификации в нашей стране пока находится в зачаточном состоянии и, по сути, только ЕСИА решает эту задачу. Если нет интеграции с ЕСИА или интеграции с государственной информационной системой межведомственного электронного взаимодействия (СМЭВ), электронные сервисы которой позволяют сопоставить СНИЛС или серийный номер паспорта с фамилией и именем, то удаленно получить юридически значимую ПЭП довольно трудоемко. Одним из возможных технических решений является усложнение процедуры подписания ПЭП дополнительным подтверждающим кодом, высылаемым на почтовый ящик, расположенный на закрытом сервисе. В этом случае, как было рассмотрено выше при описании первого способа подписания ПЭП, появляются такие ключи ПЭП,, как адрес закрытого почтового ящика и конфиденциальный пароль к нему. Полная ПЭП будет состоять из пяти ключей: логин учетной записи, пароль учетной записи, код подтверждения, адрес почтового ящика, пароль почтового ящика, где два ключа — пароль учетной записи и пароль почтового ящика — являются конфиденциальными. Связь ПЭП с оригиналом УЛ проходит через процедуру получения адреса и пароля к почтовому ящику в закрытом сервисе. Все эти моменты лучше прописать в соглашении, как требует ФЗ-63.


    В последнее время в качестве ключа ПЭП стали использовать код подтверждения, высылаемый в виде SMS на номер телефона. Необходимо понимать, что ключом ПЭП, в данном случае, является не столько код, а именно номер телефона, как один из признаков, принадлежащих определенному человеку. Юридическая значимость такого способа подписания ПЭП сильно зависит от того, какой из ключей устанавливает связь с оригиналом УЛ. Если, кроме номера телефона, есть еще ключ, в котором фиксируется такая связь, то добавление еще одного ключа просто создает вариант некоторой усиленной ПЭП. Если подразумевается, что именно номер телефона и устанавливает такую связь, то юридическая значимость ПЭП сильно зависит от способа установления связи. Удаленная проверка номера телефона в связке с УЛ малореальная, только личный визит может гарантировать достоверность такой проверки. Учитывая этот момент, было принято Постановление Правительства РФ от 13.08.2016 N 789, в котором были внесены изменения в «Правила использования простой электронной подписи при оказании государственных и муниципальных услуг» (далее – Правила). В пункт 4 Правил было добавлено условие:


    В случае применения абонентского устройства подвижной радиотелефонной связи для использования простой электронной подписи абонентский номер устройства подвижной радиотелефонной связи должен быть подтвержден пользователем в соответствующем регистре федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме.

    Правила, в пункте 16(1), устанавливают порядок такого подтверждения:
    При явке заявителя на личный прием создание (замена) и выдача ключа простой электронной подписи на основании письменного заявления осуществляются оператором выдачи ключа после получения от заявителя — физического лица ответа, направляемого с использованием абонентского устройства подвижной радиотелефонной связи, на запрос, направляемый оператором единой системы идентификации и аутентификации в соответствии с требованиями, устанавливаемыми Министерством связи и массовых коммуникаций Российской Федерации, на абонентский номер устройства подвижной радиотелефонной связи, указанный в заявлении на выдачу простой электронной подписи, поданном оператору выдачи ключа.

    Иного способа, кроме как личным визитом доказать связь между номером телефона и УЛ, государство не предусматривает. Если информационная система интегрирована с ЕСИА, можно использовать сведения о телефоне, содержащиеся в ЕСИА и такая ПЭП будет юридически значима. Если возможности интегрироваться с ЕСИА нет, то, при использовании номера телефона в качестве единственного ключа ПЭП, для придания юридической значимости, соглашение должно предусматривать способ установления связи между номером телефона и оригиналом УЛ.


    Соглашение о признании электронных документов, подписанных ПЭП, которое ФЗ-63 обязует заключить между участниками электронного документооборота, стоит рассмотреть отдельно. Выше, рассматривая различные виды ПЭП, мы определили основные требования к такому соглашению, но достаточно дискуссионным является вопрос процедуры заключения соглашения, так как его некорректно подписывать ПЭП. Решение данного вопроса зависит от технических решений, применяемых в конкретной ИС. Общепринятыми являются два варианта:


    Первый вариант заключения соглашения – личная собственноручная подпись сторон. Такой вариант стоит выбирать, если для выдачи ключей ПЭП (проверки оригиналов удостоверения личности) предусматривается личная встреча сторон.


    Второй вариант заключения соглашения – договор присоединения, согласно статьи 428 ГК РФ. Это удобно для взаимодействия граждан с различными организациями через Интернет. Вариант юридически допустим, так как ФЗ-63 не требует идентификации личности при заключении соглашения о признании электронных документов, подписанных ПЭП. Публичный характер договора присоединения закрепляет факт, что организация признает документы, подписанные любым физическим лицом с использованием ПЭП, если ПЭП физического лица будет удовлетворять условиям, перечисленным в соглашении. Обратное признание, т.е. признание физическим лицом ПЭП сотрудника организации, обычно не требуется, так как, в подавляющем большинстве случаев, организации подписывают документы, отправляемые физическим лицам, с использованием квалифицированной электронной подписи. Это диктуется тем, что юридическим лицам, кроме юридической значимости подписи, важно также гарантировать неизменность документа после подписания.


    Эпилог


    Инфраструктура открытых ключей, которую необходимо разворачивать при использовании неквалифицированной и квалифицированной электронной подписи, сложна в практическом использовании для большинства людей, чьи интересы лежат вне сферы IT. Простая электронная подпись – это довольно удобная альтернатива инфраструктуре открытых ключей, главным образом, для физических лиц, а также во внутреннем электронном документообороте между сотрудниками организации. Но, как и в любом процессе, в процедуре подписания ПЭП существуют некоторые нюансы. Надеюсь, эта статья поможет всем заинтересованным лицам увидеть эти подводные камни, и учесть их в проектировании инфраструктуры электронной подписи.


    Ссылки на источники:

    1. Гражданский кодекс Российской Федерации
    2. Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ
    3. Постановление Правительства РФ от 25.01.2013 N 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» (вместе с «Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг»)
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 29

      +4
      Спасибо, очень полезная статья, было бы здорово добавить абзац с краткими выводами для людей без юридического образования, с примерами.

      Скажем «Если зарегистрировать свой домен и хостить почту у Яндекса, при соблюдении таких и таких условий для организации и для физического лица — документы в электронном виде (не)будут иметь юридическую силу»
        0
        Хорошо бы, если бы ЭЦП была уникальна, как ИНН, СНИЛС, св. о рождении. И всегда можно было бы сказать когда ЭЦП была примена, кем и какой документ. То есть через удостоверяющий центр, всегда можно было проверить эту подпись. Может блокчейн какой или нечто подобное.
          0
          Это как с лампочками. Сейчас вы каждый год покупаете новую подпись. Иначе, столько денег мимо уйдёт! ;)
            0
            Лучше каждый год покупать, чем та фигня, что с телефонами сейчас творится.
            Теще регулярно приходят сообщения с 900 номера о поступлении пенсии какой-то левой бабушке. Насколько я понимаю, это значит, что бабуля забросила свой номер, и теперь теща технически может между поступлением и снятием пенсии перенаправить деньги на свои нужды одной SMSкой, а сбер скажет бабуле, что она сама подтвердила перевод.
            Но идея блокчейна использования ЭЦП с хешом документа, что был подписан это забавно. Но опять таки, кажется не решает вопроса времени компрометации ЭЦП. И добавляет проблем с централизацией. Это валюту народ майнит, а подписи то не станут. Значит либо чейн станет централизованным, и его можно выкинуть и заменить на БД удостоверяющего центра, или надо как-то поощрять материально участников его формирования.
              0
              Уж лучше блокчейн, даже если его блоки будет делать только одна госконтора. БД почему-то имеют тенденцию незаметно изменяться задним числом.
                0
                Эм, то есть блокчейн для ЭЦП не такая уж и плохая идея? Я просто практически пальцем в небо ткнул.
                  0
                  ЭЦП — это только схема. У Вас есть закрытый асимметричный ключ, вы шифруете им хеш документа и публикуете свой открытый ключ и результат шифрования — это и есть ЭЦП. Кто угодно может проверить, что: а) документ подписывали именно Вы; б) Вы подписывали именно этот документ. Причем отозвать подпись нельзя.

                  Блокчейн — это способ упорядочивания блоков: в каждом блоке хранится хеш предыдущего, а потому никакие изменения «задним числом» провести нельзя.

                  Проблема ЭЦП именно в удостоверении, что данный асимметричный ключ принадлежит именно Васе, а не черт знает кому. Для этого нужно третье лицо (удостоверяющий центр), которое опубликует юридически значимую запись: обладателем указанного ключа является Вася. Методом публикования может быть и блокчейн.

                  Если надо отслеживать именно само применение ЭЦП, то тогда надо просто договориться считать валидной только ЭЦП, опубликованную в составе очередного блока.
            0
            Я так понимаю сейчас удостоверяющие центры генерируют обе части ключа, получается у них есть копии и подписи не очень личные.
              0
              да, формально УЦ не имеют права хранить закрытый ключ, но наказания пока нет (вроде как есть поправки с 01.01.2017). Можете сгенерировать запрос на ЭП сами и принести его в УЦ, тогда у них закрытого ключа 100% не будет…
                0
                А можно закрытый ключ назвать персональными данными и говорить об ответственности за нарушение требований по защите персональных данных?
                  0
                  Только не понятно, как это сделать на практике
                  0
                  Ключевая пара (открытый ключ и закрытый ключ) должны генерироваться на стороне пользователя. В УЦ отправляется запрос на сертификат. Запрос содержит открытый ключ и подписывается соответствующим ему закрытым ключом (тем самым подтверждается подлинность владения ключевой парой). На основании этого запроса УЦ выпускает сертификат, который устанавливает связь между ключевой парой и конкретным лицом.
                    0
                    могут, а не должны. УЦ может сгенерить его за вас. Обязательств генерить ключи только на стороне пользователя в законе нет.
                      0
                      А при продлении есть УЦ которые дают не только самому сгенерировать первоначальную подпись, но и потом подписывают продление удалённо?
                        0
                        Удалённое продление (или перевыпуск сертификата) — это традиционная возможность, предоставляемая УЦ.
                        В этом случае вы отправляете уже не самоподписанный запрос, а подписываете запрос закрытым ключом с действующим сертификатом. По истечении срока действия сертификата такая процедура невозможна.
                          0
                          Вы не правы. Запрос на сертификат (имею в виду издание нового сертификата — «по-вашему» продление) всегда подписывается ключом электронной подписи, который соответствует ключу проверки электронной подписи в теле запроса! Это важно! По электронной подписи запроса на издание сертификата УЦ убеждается в наличии у клиента соответствующего ключа электронной подписи.
                          Действующим же ключом электронной подписи (с действующим сертификатом) клиент может, в зависимости от правил взаимодействия с конкретным УЦ, либо установить SSL-соединение с УЦ, либо подписать электронный документ типа «подписанное сообщение», содержащее запрос на издание сертификата.

                          Соответствие терминов из 63ФЗ с «простонародными»:
                          1) электронная подпись (ЭП) — ЭЦП, ЦП и т.д.;
                          2) ключ электронной подписи — закрытый ключ, секретный ключ;
                          3) ключ проверки электронной подписи — открытый ключ.
                            0
                            Вы правы во всём, кроме того, что я не прав. Я недостаточно точно и подробно выразился, из-за чего был неправильно понят.

                            Мой комментарий следует читать так:
                            В этом случае вы отправляете уже не самоподписанный запрос, а подписываете <самоподписанный> запрос закрытым ключом с действующим сертификатом.
                            Это как раз ваш второй вариант (подписание нового самоподписанного запроса закрытым ключом с действующим сертификатом и отправка полученной PKCS#7-структуры). Безусловно, никто не выпускает сертификат когда открытый ключ подписи запроса не соответствует закрытому ключу (что является тонким намёком на прочтение слово самоподписанный между строк, но никак не умоляет моих грехов). Механизм подписи уже подписанного запроса широко используется (например, в КриптоПро УЦ как одобрение на выпуск сертификата оператором).

                            Хотел бы добавить к соответствию терминов, что в англоязычной среде разница между ЭП-ЭЦП-ЦП более явная, чем у нас. Так, электронная подпись (electronic signature) — более общий термин, включающий любые данные в электронном виде, логически связанные с другими данными в электронном виде и использующиеся подписантом для подписи (например, биометрические данные), в то время как цифровая подпись (digital signature) — более узкий и являющийся подмножеством электронной подписи термин, означающий подпись, созданную с помощью криптографии.
                              0
                              Я специально конкретизировал, что термины согласно 63ФЗ, а не англоязычной среде.

                              Мое пожелание Вам: «Чтобы не случалось казусов с непониманием, выражайтесь как можно более точно, иначе „новички“ могут неправильно понять и еще более неправильно истолковать со своих слов. Особенно в сфере криптографии. Удачи.»
                        0
                        Термин «сторона пользователя» в законе не определён. В моём понимании это личный токен, доступ к ключам которого имеет только пользователь. Можно придти с ним в УЦ и сгенерировать ключи там, но системы УЦ доступа к закрытому ключу иметь не должны, т.к. статьи 9 и 10 федерального закона №63-ФЗ гласят:
                        Статья 9. Использование простой электронной подписи


                        2. Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:

                        2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.


                        Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей

                        При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
                        1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;

                        3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;

                        Получение доступа к закрытому ключу третьими лицами (в том числе самим УЦ) является нарушением конфиденциальности.
                    +1
                    Мои глаза… В терминологии ПЭП, словами «электронная подпись» и «закрытый ключ» называются вещи, которые не являются ни электронными подписями, ни закрытыми ключами. Никакой пароль к почте или к чему там не может называться термином «закрытый ключ», никакой логин — термином «открытый ключ», а факт получения документа с доверенного email адреса не может называться «электронной подписью».

                    И ещё, судя по статье, ФЗ вообще не умеет регулировать криптографические системы, в которых участник идентифицируется чем-то иным, кроме паспортных данных? Например, просто публичным ключом?
                      0
                      по поводу 2 абзаца, вы не совсем правы. на основании соглашений вы может вообще все что угодно и как угодно, но до тех пор пока вы не хотите пойти, например в суд, и тут вылезает:
                      «Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом». определить лицо вы можете посредством удостоверения личности, коим в РФ является паспорт, военник и пр (там список внушительный) у ним НЕ относятся:
                      — водительские права
                      — СНИЛС
                      Так что да, для суда только паспорт, никаких публичных ключей.
                      Хотя, вы можете предоставить сертификат, в котором есть публичный ключ и ваше ФИО + СНИЛС, но это уже не простая, а усиленная подпись. И паспорт вы все равно предъявляете в УЦ.
                        0
                        Для того, чтобы ПЭП была значима для суда, в соглашении должна быть явно показана связь между ПЭП и удостоверением личности. Я этот момент постарался особо выделить в статье, при описании различных видов ПЭП.
                        0
                        В статье, видимо, не хватает раздела о терминологии, так как на разных языках диалога не получится. Необходимо общее понимание, что такое электронная подпись (ЭП), что такое электронно-цифровая подпись (ЭЦП), и что такое простая электронная подпись (ПЭП). И чем ЭЦП отличается от ПЭП. Ваш комментарий целиком и полностью относится к ЭЦП. ЭЦП и ПЭП — это абсолютно разные сущности, и различаются они как раз тем, что в случае ЭЦП используется криптография, а в случае ПЭП — криптография НЕ используется. ФЗ знает и об криптографии, и о публичных ключах, и умеет их регулировать. Но статья совсем не об этом.
                        Кстати говоря, проблема терминологии носит исторический характер. В России было два закона об электронной подписи. В законе 2002 года не было других видов электронных подписей, кроме как ЭЦП. И очень многие считают, что понятие электронной подписи ограничивается криптографией и ЭЦП. Но закон 2011 года расширил понятие электронной подписи и вообще выбросил такое понятие, как ЭЦП. Его там нет. Оно заменено другими понятиями, а именно: электронная подпись без применения криптографии, которая в законе называется простой электронной подписью, и электронная подпись с применением криптографии, которая имеет две разновидности: неквалифицированная электронная подпись и квалифицированная электронная подпись.
                          0
                          ПЭП в 63ФЗ «сунули» законотворцы — регуляторы (ФСБ) были изначально против ее. На различных конференциях посвященных развитию ИОК в РФ (в частности, «PKI-форум Россия 2010») они «рекомендовали» не использовать ее даже в корпоративных ЭДО. Но на их рекомендации «бизнес и некоторые госучреждения» возмущались. Поэтому, чтобы хоть как то навести порядок с применением ПЭП, «регуляторы» при участии Минкомсвязь решили организовать применение ПЭП через единый «портал», в котором будут регистрироваться «специальные параметры» ПЭП… Только вот чем это закончилось, мне не известно…
                            0
                            На самом деле хорошо, что оставили лазейку, ибо ФСБ такое ФСБ, что до сих пор заставляет пользоваться 152 инструкцией ФАПСИ 2001 года… 15 лет документу…
                        0
                        Автору небольшое уточнение, фраза:
                        «Если нет интеграции с ЕСИА или интеграции с государственной информационной системой межведомственного электронного взаимодействия (СМЭВ), электронные сервисы которой позволяют сопоставить СНИЛС или серийный номер паспорта с фамилией и именем, то удаленно получить юридически значимую ПЭП довольно трудоемко»
                        не совсем корректна. Во-первых, не получив доступа к СМЭВ вы не получите доступа к ЕСИА (со стороны информационной системы. а не пользователя), поэтому там не «или», а «и».
                        во-вторых. ни один сервис не возвращает вам информацию о номера вашего паспорта и ФИО. Сервис МВД возвращает только информацию о том отозван паспорт или нет. Сопоставление паспорт-имя-снилс происходит когда вы приходите в МФЦ и там у вас все проверяют и регистрируют (просто небольшое уточнение функционала). интересный вопрос, надо ли идти снова после смены паспорта если смену делал не через ЕСИА, а путем прихода ножками в УВД...(сам менять пойду еще не скоро:))) Так что для ЕСИА основным идентификатором является все же снилс
                        Ну и третье. коммерческой организации получить доступ к ЕСИА невозможно, а потому ПЭП+ЕСИА никому особо и не надо т.к. там у всех давно уже получена усиленная квалифицированная электронная подпись…
                          0
                          Да, согласен, основным идентификатором является СНИЛС, так как он удобен для электронной обработки, но этот факт пока не зафиксирован на законодательном уровне. Для действующего закона основой для идентификации личности является документ, содержащий фотографию, фамилию и имя, поэтому, до принятия соответствующего закона, в явном или неявном виде должна быть связка СНИЛС + удостоверение личности. Кстати, если не ошибаюсь, в СМЭВ сервис ПФР позволяет проверить связку СНИЛС+паспорт.
                          Есть некоторые признаки, что электронные взаимоотношения с физическими лицами будут двигаться в сторону увеличения удобства использования ПЭП+ЕСИА, а ЭЦП, квалифицированную или неквалифицированную, оставят для юридических лиц. Об этом говорят ряд законопроектов, внесенных Минкомсвязи на рассмотрение Правительства. Я считаю, что это правильно. Если подобрать исторические аналогии, то ЭЦП — это фактически документ с печатью, а заставлять каждое физическое лицо получать печать не совсем логично. У физического лица есть собственноручная подпись, при переходе на электронный документооборот не должно сильно что-то поменяться. А инфраструктура открытых ключей, которая нужна для ЭЦП, все же сложна для простых граждан.
                          Также согласен, чтобы связка ПЭП+ЕСИА полноценно заработала, нужно открыть доступ коммерческим организациям к ЕСИА. Такой законопроект сейчас внесен на рассмотрение Правительства, правда и доступ предусматривается сделать коммерческим.
                          Ознакомиться со всеми планируемыми изменениями в ЕСИА можно на портале проектов нормативных актов: Проекты нормативных актов
                            0
                            Спасибо, гляну проекты. Не знал про них.
                          0
                          Юридически значимой такая ПЭП будет при выполнении следующих условий:
                          Соглашением установлена однозначная, и не допускающая толкований, связь публичной части ключа ПЭП(логина) с УЛ пользователя учетной записи;
                          Закрытая часть ключа ПЭП строго конфиденциальна и это зафиксировано в соглашении;

                          А ведь этих условий явно недостаточно для соответствия требованию 63-ФЗ к ПЭП: "… подтверждает факт формирования электронной подписи определенным лицом". Все упирается в то, что ни пользователь, ни регулирующие органы не могут быть уверены в добросовестности серверной стороны.

                          При онлайн-взаимодействии для обеспечения соответствия ПЭП требованиям закона потребуется подтверждение того, что программное обеспечение сервера, отвечающее за взаимодействие с пользователем, как минимум,

                          • Гарантирует отсутствие доступа до ввода правильного пароля.
                          • Гарантирует невозможность перехвата пароля средствами, неподконтрольными пользователю.
                          • Гарантирует невозможность имитации действий пользователя на стороне сервера.
                          • Гарантирует корректное протоколирование параметров сеанса и значимых действий пользователя.
                          • Гарантирует невозможность фальсификации протоколов.


                          Без этого все «соглашения о признании», составленные юридическиподобным языком, будут не более, чем филькиной грамотой, поскольку невозможно достоверно подтвердить «факт формирования подписи определенным лицом».

                          Системы с уникальными кодами, пересылаемыми в SMS, тоже должны гарантировать, что направленный пользователю код был затем действительно передан с его стороны, а не подставлен сервером самостоятельно. Причем не только передан со стороны, пользователя, но и введен им в окно браузера извне, а не подставлен браузером, предварительно получившим код от сервера.

                          Гарантировать все перечисленное может, понятное дело, только сертифицированное программное обеспечение. Возможно, ЕСИА и прошла необходимый аудит, но то, что его прошло ПО всех интернет-банков и сайтов, предлагающих заключить «Соглашение о...», весьма сомнительно.

                          Другим способом обеспечения гарантий могла бы быть фиксация каким-либо способом версии работающего на сервере ПО вместе с его исходниками (тут уже не обойтись без криптографии и доверенных сертификатов с метками времени). Тогда на момент взаимодействия какие-либо гарантии отсутствуют, но в случае возникновения споров можно потребовать проведения аудита ПО.

                          Only users with full accounts can post comments. Log in, please.