Электронная подпись физического лица (часть 1)

Я расскажу о Федеральном законе от 6 апреля 2011 г. N63-ФЗ «Об электронной подписи»: что он, зачем он, а главное, как обывателю его использовать. Рассмотрю проблемы, с которыми я столкнулся, и их решения. Этот пост направлен больше в сторону социума, поэтому для технарей будет присутствовать некая избыточная информация.

Немного теории

Что вообще такое подпись? По Википедии это уникальная совокупность символов, написанных от руки, с применением определенных оформительных приёмов, служащая для идентификации человека.
Мы подписываем документ, следовательно, соглашаемся с его содержимым, оставляя неповторимый отпечаток. Электронная подпись по той же Вики это реквизит электронного документа, позволяющий установить:
  1. отсутствие искажения информации в электронном документе с момента подписания;
  2. принадлежность подписи владельцу.
Легко заметить аналогию. Как подпись ручная является неотъемлемым реквизитом документа бумажного, так и подпись электронная является реквизитом электронного же документа. Также как подпись ручная является уникальным символом, так и электронная подпись тоже уникальна.

Как подписываются бумаги, я думаю, всем известно, поэтому вкратце опишу, как подписывается электронная информация. Для этого используется асимметричная криптография, она так называется потому, что ее алгоритмы используют не один, а сразу два ключа: известный всем, «открытый» и известный лишь одному, «закрытый». А алгоритмы ассиметричной криптографии, соответственно, позволяют шифровать информацию одним из ключей и расшифровывать другим.
Для меня, владельца ключами, это дает некоторые преимущества:
  • С одной стороны, любой человек может зашифровать некую информацию моим открытым ключом и быть уверенным в том, что ее расшифровать смогу только я;
  • С другой стороны, я могу зашифровать информацию своим закрытым ключом, и любой человек, ухитрившийся расшифровать эту информацию моим открытым ключом, может быть уверен в том, что именно я, а никто другой, эту информацию шифровал.
Именно на этом, втором преимуществе и держится вся механика электронной подписи.

Перейдем к закону

Что такое «Электронная подпись» по законодателю? В терминах закона это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
то есть электронная подпись это всего лишь некая информация, связывающая два объекта: подписываемый документ и подписавшее лицо.

Закон также вводит еще ряд определений:

Сертификат ключа проверки электронной подписиэлектронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Это не что иное, как сертификат открытого ключа.

Квалифицированный сертификат ключа проверки электронной подписи (он же квалифицированный сертификат) — сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Исключая бла-бла-бла, понимаем, что это тот же сертификат открытого ключа, который был выдан кем-то там очень важным, получившим аккредитацию.

Ключ электронной подписиуникальная последовательность символов, предназначенная для создания электронной подписи.
Это наш закрытый ключ.

Ключ проверки электронной подписиуникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
А это наш открытый ключ.
Здесь я сразу обращу внимание на разницу, потому что, как говорится, мухи отдельно, а котлеты отдельно. Открытый ключ это открытый ключ, просто последовательность символов, а сертификат открытого ключа это уже целый документ, состоящий из открытого ключа и кое-чего еще.

Удостоверяющий центрюридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей.

Аккредитация удостоверяющего центрапризнание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона.
Помните разницу между квалифицированным и неквалифицированным сертификатом? Квалифицированный сертификат может выдать только аккредитованный центр.

Средства электронной подписишифровальные криптографические средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
А это наш хард и софт.

Пропуская кучу строк закона об обязанностях всех перед всеми, скажу, что получить я захотел именно ключи для создания Квалифицированной электронной подписи. Почему? Потому что информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе. Тут прелесть в том, что если законом явно не сказано «гони бумагу, дружок», то можно обойтись лишь электронным носителем, а это открывает просто чудовищные перспективы. Случай навскидку. При приеме на работу работодатель обязан ознакомить под роспись работника с действующими локальными нормативными актами. Теоретически, если предъявить паспорт, пенсионное, военник можно дистанционно, а трудовую книжку переслать почтой, то ознакомить под роспись с каким-либо документом до изобретения ЭП, можно было только локально. А значит, мне для расширения моих возможностей нужно получить ключи.

Получение

Как я это делаю? Я смотрю в статью 18 закона и вижу, что для того, чтобы выдать мне сертификат, удостоверяющий центр должен лишь установить мою личность, а я, в свою очередь, предоставить ему два документа: паспорт и свидетельство обязательного пенсионного страхования. К счастью, оба эти документа у меня есть. Теперь остается дело за малым: найти ближайший аккредитованный удостоверяющий центр. В самом законе то место, где искать, описано больно витиевато: "Аккредитация удостоверяющих центров осуществляется уполномоченным федеральным органом". Где этот орган? Как его найти?

Я решил для начала поковыряться на сайте Минкомсвязи РФ и сразу же попал в точку. В соответствии с указом президента от 25.08.2010г. №1060 «О совершенствовании государственного управления в сфере информационных технологий», функции уполномоченного органа в области использования ЭЦП, в том числе ведение ЕГР сертификатов УЛ УЦ, возложены на Министерство связи и массовых коммуникаций Российской Федерации.

Но далее государство подкладывает обывателю свинью.

Свинья 1. На сайте профильного органа исполнительной власти отсутствует информация о получении ключей физическими лицами.

Много, достаточно много информации по старому закону, тому самому, который обошелся без присутствия в нем физических лиц, а информации по новому закону ноль. Ничего, я знаю про существование 59-ФЗ, поэтому пишу обращение в Минкомсвязи, тем более что восьмая статья закона «Об электронной подписи» прямо обязывает их хранить реестр аккредитованных удостоверяющих центров.

В этот же день, к счастью, я совершенно случайно узнал, что у нас в Питере выдает ключи ОАО Ростелеком, поэтому в тот же вечер отправился на Невский, 88 в центр обслуживания. Десять минут времени, 660 рублей денег, четыре-пять подписей под заявлением, разрешением на обработку персональных данных, ознакомлении со статьями почему-то старого закона и бумажной версией сертификата, и вот я счастливый обладатель маленького usb-устройства, напоминающего flash-накопитель, содержащего ключи и сертификат для создания электронной подписи. А спустя полчаса, дома, я, потирая руки, воткнул ключик в usb-порт и получил новую свинью от государства.

Свинья 2. В Windows XP eToken без дополнительных манипуляций не работает.

Статьей 18-й закона предусмотрено, что выдача квалифицированного сертификата сопровождается выдачей руководства по обеспечению безопасности. В моем случае это была бумаженция, в которой все инструкции по безопасности ограничивались надписью «при первом использовании, смените ПИН с 1234567890 на иной». Законодатель не посчитал необходимым выдачу инструкции по эксплуатации, поэтому я начал поиск с сайта госуслуг, мне казалось, я там видел что-то такое об электронной подписи. И действительно, на сайте предусмотрен вход по ЭП, а также довольно быстро нашлись CCID драйвер, плагин к браузеру для доступа и даже небольшой документ «Инструкция пользователя по работе с ЭП». Обратите внимание на раздел 3, «Подписание электронных документов». Оказывается тем ключиком, что я получил, можно подписывать лишь определенные услуги (кстати, та услуга, которая указана в инструкции, у меня отсутствует) лишь на сайте государственных услуг и лишь через браузер.

Свинья 3. Отсутствие средств создания электронной подписи вне сайта.

Сам закон не накладывает ограничений на использование электронной подписи, я получил средства создания электронной подписи абсолютно законным путем, а, следовательно, имею право использовать ее везде, где пожелаю. В следующей части, технической, я опишу, как обходится третья свинья, будет некоторое количество кода, терминологии, и даже один рабочий проект. А в третьей части я планирую вернуться обратно, к жгучей смеси социалки и юриспруденции, и устроить различным ведомствам нашей необъятной родины стресс-тест заявлениями, подписанными моей электронной подписью.
Поделиться публикацией

Комментарии 30

    +10
    И сразу вопрос — под Линуксы это работает? Или драйвера токена есть только для Win-семейства?
      +1
      На сайте госуслуг только под Win, да и то, похоже, не под все. Вот разработчик свистка, сам свисток называется eToken ГОСТ, там что-то у них есть под другие платформы.
        0
        Подтверждаю. У меня лично Windows 7 64bit prof лицензионный. НО под этой os войти не могу. Под xp — входит.
        0
        Обещают, что на gosuslugi.ru скоро заработает: www.linux.org.ru/forum/talks/6661867.
          0
          Вот выдержка с сайта разработчика:
          Низкоуровневый интерфейс (система APDU-команд) позволяет использовать eToken ГОСТ на любых платформах и операционных системах (Windows 32/64-бит, Linux 32/64-бит, Mас OS X и др.), а также для аутентификации пользователя до загрузки операционной системы рабочей станции — в приложениях типа «электронный замок» и аппаратных модулях доверенной загрузки.
          0
          Я так и предположил. Для той же убунты там доступна только версия дял 8.ХХ кажется. Новые драйвера — по какому-то спецзапросу по линии коммерческой техподдержки и прочая бюрократия.
            –1
            А для еТокен ГОСТ вообще ничего недоступно :(
            +3
            Для начала:
            — Список платформ под которое работает программное обеспечение ЭЦП.
            Windows 2000 (ia32);
            Windows XP/2003/Vista/2008/7
            /2008R2 (ia32, ia64, x64).
            Linux Standard Base ISO/IEC 23360 (ia32, x64), программно-аппаратные среды, удовлетворяющие стандарту LSB 4.х/3.х;
            ALT Linux (ia32, x64);
            Debian (ia32, х64);
            Red Hat Enterprise
            Linux Version 3 Update 3 (ia32, x64);
            Trustverse Linux XP (ia32);
            FreeBSD 7/8 (ia32);
            Solaris 9/10 (sparc, ia32, x64);
            AIX 5/6 (Power PC).
            — То что минсвязь является контролёром известно давно. И то что ЭЦП физ лицам выдают акредитованные лица, так же известно давненько.
            — Я подписывал обращения файла *.doc. Гос органы спокойно его принимали.

            Я статью 2 раза перечитал, так и не понял с какими вы столкнулись проблемами? Они известны давно. Я даже от Ростелекома письма получал подписанные ЭЦП.

            Просто каждые организации у нас принимают особенные ЭЦП. Это сделано для того, чтоб избежать подделок. Т.к. к примеру ЭЦП на организацию я получал отдав документы с подписями. А кто докажет что это он расписался. И ЭЦП выдали мне на руки, хотя я посторонний человек. ЭЦП в россии пока испытывает сугубо бюрократические проблемы.
              +1
              Интересно было бы прочитать и про ваш опыт: Как получали, принцип работы под linux системой, какого рода документы подписывали, какие проблемы возникали.
                0
                Физически не успеваю написать статьи. А вообще это хотел описать в статье «Электронное правительство в бумажном варианте.»
              +6
              Под Mac жалко нету, как же Медведев подписывать-то будет?
                +1
                Мендведев прямо на экране стилусом расписывается, по телику показывали год или два назад. Причем он это и называл электронной подписью. Его ИТшники над ним прямо издеваются, вот он и ездит к Обаме за гаджетами.
                0
                Всё это топку — есть PGP, ну и соответственно открытый стандарт OpenPGP и его реализация в GnuPG. И ни какого геморроя.
                  0
                  GnuPG-то есть, вот только для создания аппаратного ключа надо несколько нетривиальных действий совершить. Осилит это далеко не каждый. А тут предлагают готовое решение. Правда, с зондом и нерабочее.
                  0
                  Я как-то сунулся на сайт коммерческих закупок b2b-center.ru в надежде предложить свой товар. Там затребовали ЭЦП. И предложили сделать эту ЭЦП в фирме ОАО «ЦЭРАПРОФ». Позвонил туда. Запросили около 4000 рублей, причем подпись оказалась не универсальная, а четко предназначенная для торгов на определенном сайте — нигде более.

                  И вот, думаю, стоит ли игра свеч, или это сделано, чтобы отсеять мелких предпринимателей вроде меня.
                    0
                    Это как раз то, что в терминах закона «неквалифицированная» ЭП, когда правила определяют участники электронного взаимодействия. Цены, видимо, определяют также они.
                      0
                      На b2bcenter можно использовать и другую подходящую ЭЦП. Цену можно снизить, если отказаться от eToken например. И ЭЦП можно использовать в других электронных торгах (другое дело, позволит ли другая площадка использовать ЭЦП без своей полиси).
                      +1
                      Забавно. Раньше на всех документах, например, отправляемых в налоговую, руководитель собственноручно ставил свою подпись. Нынче же, в эпоху ЭЦП, эти документы фактически подписывает и отправляет, как правило, другой человек, т.е. руководитель не занимается этой ерудой и их в глаза не видит. Сужу чисто на своем опыте.
                        0
                        Да ничего удивительного на самом деле, руководитель подписывает не «от имени гражданина Ивана Иваныча», а «от имени ООО „Рога и копыта“», хотя сама закорючка да, одна и та же. Поэтому стало, на мой взгляд, более логично.
                          0
                          Так это не проблема ЭЦП, а проблема того самого руководителя.
                            0
                            Цитату забыл, я о том, что он "… в глаза их не видит"
                          0
                          и что, pcsc_scan не видит этот токен вообще?
                            0
                            Хочется уточнить, что Ростелеком, как и другие удостоверяющие центры, не является аккредитованным по 63-ФЗ «Об электронной подписи». Он является удостоверяющим центром, действующим в соответствии с 1-ФЗ «Об электронной цифровой подписи».

                            Требования к средствам подписи, средствам удостоверяющего центра и формату квалифицированного сертификата до сих пор ещё не приняты ФСБ, хотя Путин утверждал в июне план принятия подзаконных актов, и эти три должны были быть приняты до 31 августа. Таким образом, Ростелеком выпускает сертификаты электронной цифровой подписи, приравненные к квалифицированным сертификатам. Но это он мог делать и до принятия 63-ФЗ!
                              0
                              Немного не так. Можно заглянуть в переходные положения закона (19 статья), там вполне себе сказано:
                              Сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 года N 1-ФЗ «Об электронной цифровой подписи», признаются квалифицированными сертификатами в соответствии с настоящим Федеральным законом.
                              Значит мой сертификат квалифицированный, ведь дата утраты силы 1-ФЗ «Об ЭЦП» только в июле следующего года.
                                +1
                                А что не так? Я ведь это и сказал.

                                В посте просто делается вывод, что Ростелеком выдаёт квалифицированные сертификаты электронной подписи, а на самом деле это сертификаты электронной цифровой подписи, признаваемые квалифицированными. Основные нюансы таковы.
                                1. Ростелеком и владелец сертификата ЭЦП выполняют обязанности и имеют права по старому закону, а не по новому. В частности, владелец сертификата должен обеспечивать тайну закрытого ключа, а не обеспечивать конфиденциальность. А Ростелеком, например, не может приостановить действие сертификата иначе, чем на основании указаний от органов, владельца сертификата или его работодателя.
                                2. Электронная подпись равнозначна собственноручной только если выполнены требования по старому закону. Например, в новом законе говорится о подписании документов пачками (e-mail с вложениями), а в старом — нет. Или, скажем, в старом говорится о том, бумажный документ с печатью и подписью можно заменить электронным документом с подписью только в случаях, установленных законом или соглашением сторон.
                                  0
                                  Это заставляет меня задуматься, несомненно. Я, пожалуй, напишу еще пару обращений по этому поводу в ростелеком и в минкомсвязь, посмотрю, что они мне на это ответят.
                                  Подозреваю, что так как переаккредитация УЦ в связи с принятием нового закона законом не предусмотрена, то она и не требуется. Но, конечно, все равно это повод для размышлений и вопросов.
                                    0
                                    Аккредитация по 1-ФЗ и аккредитация по 63-ФЗ — это разные процедуры.

                                    1-ФЗ устанавливает правила использования ЭЦП и перестаёт действовать после 1 июля 2012 года, а областью действия 63-ФЗ является только электронная подпись (простая, неквалифицированная, квалифицированная подписи, но не электронная цифровая). Поэтому, чтобы выпускать квалифицированные сертификаты нужно пройти аккредитацию по 63-ФЗ. То есть, наличие аккредитации по 1-ФЗ перестаёт быть сколько-либо значимым свойством 1 июля 2012 года.
                                      0
                                      Пришел ответ из минсвязи, все ровно так, как вы сказали, они мне даже ссылку на проект нового приказа об аккредитации прислали, но все равно решительно не ясно, что произойдет после 1 июля 2012 года.
                                        0
                                        Знали бы Вы, какие замечательные ответы у меня есть от Минсвязи. Но об этом напишет, мы договорились, должен написать другой человек.

                                        После 1 июля 2012 года произойдёт одно из двух.
                                        1. Регуляторы просто снимут денег на аккредитации. Мы, СКБ Контур, уже готовы пройти её по проекту, будет проект номер 2 — будем готовы по нему, будет финальный вариант — не пройдёт и недели, как у нас всё будет готово к аккредитации.
                                        2. Всех насадят, и останется один удостоверяющий центр: ОАО «Ростелеком». Это маловероятно, так как Ростелеком за 10 лет не смог со всем адм. ресурсом в Минсвязи, со всеми деньгами, которые им давали на наём субподрядчиков, субсубподрядчиков и субсубсубподрядчиков сделать ровным счётом ничего. Этот путь погубит ЭЦП/КЭП, ФНС и ПФР заключат прямые соглашения с налоговыми агентами/страхователями, пышным цветом расцветут удостоверяющий центры без аккредитации, все выберут себе технологии и удостоверяющие центры самостоятельно, без помощи регуляторов.
                              0
                              ATR у него какой хоть?

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое