Сертификат ключа электронной подписи. ФЗ "Об электронной подписи"
- Общие положения.
Выбор способа представления тех или иных данных и дополнительных ограничений на состав полей сертификата основан на следующих принципах:
представление данных в сертификате должно быть предельно простым и однозначным, чтобы исключить различные варианты трактовки документа уже на этапе разработки приложений;
составленная таким образом спецификация должна оставлять необходимую свободу для включения в сертификат дополнительных данных произвольного вида, характерных для конкретной области применения сертификатов ключей ЭЦП;
состав полей и форматы представления данных в сертификате должны соответствовать международным рекомендациям (см.п.2) там, где это не противоречит требованиям Закона об ЭЦ;
выпускаемые сертификаты используются в интернет PKI и период действия открытого и закрытого ключей для такого рода систем счтается одинаковым согласно RFC 3280 (4.2.1.4) и атрибут Private Key Usage Period не должен входить в состав сертификата.
- Международные рекомендации. Настоящий документ разработан с учетом
международных рекомендаций:
- RFC 3280 (в обновление к RFC 2459) Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile.
- RFC 3039 Internet X.509 Public Key Infrastructure. Qualified Certificate Profile - в данном RFC предлагаются общие требования к синтаксису (составу) сертификатов, использование которых юридически значимо.
- Состав и назначение полей сертификата.
В данном разделе приводится описание основных полей сертификата открытого ключа, соответствующего Закону "Об электронной цифровой подписи" от 10.01.2002.
Используемые в разделе понятия, обозначения и терминология основаны на RFC 3280 и RFC 3039, которые, в свою очередь, базируются на Рекомендации ITU-T X.509 версии 3. Содержание раздела не копирует содержание указанных документов, а лишь обозначает отличия и особенности использования полей сертификата, реализующие требования к составу сертификата ЭЦП, изложенные в статье 6 Закона об ЭЦП.
Для всех полей сертификата, которые подразумевают русскоязычные строковые значения, предпочтительнее использовать универсальную кодировку UTF-8 (тип UTF8String).
Целью раздела является определение состава и назначения полей сертификата без учета требований конкретного удостоверяющего центра. Документы, регламентирующие работу удостоверяющего центра, могут ограничивать состав полей сертификата и набор атрибутов, используемых для идентификации УЦ и владельцев сертификатов ключей подписи.
- countryName
- stateOrProvinceName
- localityName
- organizationName
- organizationalUnitName
- postalAddress
- serialNumber
- countryName
- stateOrProvinceName
- localityName
- organizationName
- organizationalUnitName
- title
- commonName
- pseudonym
- serialNumber
- postalAddress
- быть произвольным (присваиваться самим удостоверяющим центром);
- содержать идентификатор (номер), присвоенный государственной (или иной) организацией (например, ИНН, серия и номер паспорта, номер удостоверения личности и т.д).
Version
Все выпускаемые сертификаты должны иметь версию 3.SerialNumber
Поле serialNumber должно содержать "... уникальный регистрационный номер сертификата ключа подписи" (ст.6, п.1, абз.1). Уникальность номера сертификата должна соблюдаться в рамках данного удостоверяющего центра (УЦ).Validity
Поле validity должно содержать "... даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра" (ст.6, п.1, абз.1).SubjectPublicKeyInfo
Поле subjectPublicKeyInfo должно содержать "... открытый ключ электронной цифровой подписи" (ст.6, п.1, абз.3).Issuer
ФЗ "Об ЭЦП" предполагает выдачу сертификатов только физическим лицам, это положение касается и сертификатов самих УЦ и сертификатов ресурсов. Для соблюдения формальных требований ФЗ предлагается в сертификатах УЦ и ресурсов в атрибутах указывать реальную информацию организации считая, что такой сертификат выдан уполномоченному физическому лицу УЦ или Ресурса и указанная информация должна трактоваться и регистрироваться как сертификат на псевдоним, что допускает ФЗ "Об ЭЦП".
Поле issuer должно однозначно идентифицировать организацию, выпустившую сертификат, и содержать официально зарегистрированное наименование организации.
Для идентификации могут использоваться следующие атрибуты:{id-at 6} {id-at 8} {id-at 7} {id-at 10} {id-at 11} {id-at 16} {id-at 5} Поле issuer должно обязательно включать атрибуты, описывающие "наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи" (ст.6, п.1, абз.5).
Наименование должно указываться в атрибуте organizationName. При использовании атрибута organizationName может
Местонахождение удостоверяющего центра может указываться с помощью набора атрибутов countryName, stateOrProvinceName, localityName (каждый из которых является необязательным) либо с помощью единственного атрибута postalAddress. Любым из указанных способов местонахождение УЦ должно обязательно присутствовать в сертификате.
должен содержать юридический адрес удостоверяющего центра. Пробел (символ "0x20") должен использоваться в качестве разделителя.
Атрибут поля subject serialNumber должен использоваться при коллизии имен.
Subject
Для представления DN (Distinguished Name - отличительное имя) владельца сертификата могут использоваться следующие атрибуты:{id-at 6} {id-at 8} {id-at 7} {id-at 10} {id-at 11} {id-at 12} {id-at 3} {id-at 65} {id-at 5} {id-at 16} Для соблюдения формальных требований ФЗ предлагается в сертификатах УЦ и ресурсов в атрибутах указывать реальную информацию организации считая, что такой сертификат выдан уполномоченному физическому лицу УЦ или Ресурса и указанная информация должна трактоваться и регистрироваться как сертификат на псевдоним, что допускает ФЗ "Об ЭЦП".
Поле subject должно обязательно содержать следующие сведения: "фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца" (ст.6, п.1, абз.2).
Фамилия, имя и отчество владельца должны содержаться в атрибуте commonName и совпадать с указанными в паспорте. Пробел (символ "0x20") должен использоваться в качестве разделителя.
Псевдоним владельца должен содержаться в атрибуте pseudonym.
Использование одного из этих атрибутов исключает использование другого.
Остальные атрибуты являются необязательными.
"В случае необходимости в сертификате ключа подписи на основании подтверждающих документов указываются должность (с указанием наименования и места нахождения организации, в которой установлена эта должность)..." (ст.6, п.2).
Должность владельца сертификата должна указываться в атрибуте title. Значение атрибута должно соответствовать записи в документах, подтверждающих установленную для владельца сертификата должность.
Атрибут title, согласно RFC 3039, должен включаться в расширение subjectDirectoryAttributes. Однако настоящим документом (и RFC 3280) допускается его включение в поле subject.
При использовании атрибута title обязательно должны включаться атрибуты, описывающие наименование и место нахождения организации, в которой установлена данная должность.
Наименование организации должно указываться в атрибуте organizationName. Значение атрибута должно совпадать с записью наименования организации в учредительных либо иных равнозначных документах. При использовании атрибута organizationName может также использоваться атрибут organizationalUnitName.
Местонахождение организации может указываться с помощью набора атрибутов countryName, stateOrProvinceName, localityName (каждый из которых является необязательным) либо с помощью единственного атрибута postalAddress.
Атрибут postalAddress, в случае его использования, должен содержать юридический адрес организации либо адрес прописки владельца сертификата ключа подписи (для физического лица).
При наличии атрибута organizationName атрибуты countryName, stateOrProvinceName, localityName и postalAddress должны интерпретироваться как местонахождение организации.
Необязательные атрибуты поля subject (countryName, stateOrProvinceName, localityName, organizationName, organizationalUnitName, title, postalAddress) могут быть включены, если это определено регламентом работы УЦ, вместо поля subject в расширение subjectDirectoryAttributes (см. п 3.8.1). В этом случае они не должны включаться в subject и не могут быть использованы для различения владельцев сертификатов ключей подписи.
Атрибут serialNumber должен включаться в поле subject сертификата при коллизии имен. Он также может включаться, если это определено регламентом работы удостоверяющего центра.
Атрибут serialNumber может :
Обязательные расширения
должны входить следующие расширения:- KeyUsage {id-ce 15}
- CertificatePolicies {id-ce 32}
KeyUsage
Для того чтобы сертификат мог быть использован для проверки цифровой подписи, в расширении keyUsage должны быть установлены биты digitalSignature(0) и nonRepuduation(1).CertificatePolicies
Расширение certificatePolicies предназначено для определения области юридически значимого применения сертификата.
"... наименование средств ЭЦП, с которыми используется данный открытый ключ..." (ст.6, п.1, абз.4), "... сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение..." (ст.6, п.1, абз.6) и другие данные, регламентирующие порядок получения и использования сертификатов ключей подписи, могут быть доступны по указанному в данном расширении CPSuri (Certificate Practice Statement URI).
SubjectDirectoryAttributes
Расширение subjectDirectoryAttributes может содержать атрибуты, дополняющие информацию, представленную в поле subject.
В дополнение к атрибутам, перечисленным в RFC 3039, рекомендуется поддерживать в расширении subjectDirectoryAttributes следующие атрибуты:- qualification
- countryName
- stateOrProvinceName
- localityName
- organizationName
- organizationalUnitName
- title
- postalAddress
{-} {id-at 6} {id-at 8} {id-at 7} {id-at 10} {id-at 11} {id-at 12} {id-at 16} "В случае необходимости в сертификате ключа подписи на основании подтверждающих документов указываются... квалификация владельца сертификата ключа подписи" (ст.6, п.2).
Данные о квалификации владельца сертификата ключа ЭЦП должны указываться в атрибуте qualification. Данный атрибут не определен в международных рекомендациях (см.п.2) и подлежит регистрации.
Если атрибуты countryName, stateOrProvinceName, localityName, organizationName, organizationalUnitName, title, postalAddress включены в расширение subjectDirectoryAttributes, они не должны включаться в поле subject.
Для хранения иных сведений о владельце сертификата ключа подписи могут использоваться другие (уже зарегистрированные или подлежащие регистрации) атрибуты, не противоречащие ограничениям, накладываемым расширением certificatePolicies и другими документами, регламентирующими работу УЦ.
Необязательные расширения
В состав
сертификата ключа подписи могут
входить любые другие
расширения. При включении в сертификат ключа ЭЦП расширений необходимо
обеспечивать непротиворечивость и однозначность представленной в
сертификате информации.
Настоящий документ не регламентирует
использование расширений, за исключением расширения
subjectDirectoryAttributes {id-ce 9}.
Приложение ASN1
id-at: OID value: 2.5.4OID description: X.500 attribute types.
id-ce: OID value: 2.5.29
OID description: Object Identifier for Version 3 certificate extensions.
2.5.4.5 id-at-serialNumber serialNumber ATTRIBUTE::= { WITH SYNTAX PrintableString(SIZE (1..64)) EQUALITY MATCHING RULE caseIgnoreMatch SUBSTRINGS MATCHING RULE caseIgnoreSubstringsMatch ID id-at-serialNumber }
(RFC
3039)
The serialNumber attribute type SHALL, when present, be used
to differentiate between names where the subject field would otherwise be
identical. This attribute has no defined semantics beyond ensuring
uniqueness of subject names. It MAY contain a number or code assigned by
the CA or an identifier assigned by a government or civil authority. It is
the CA"s responsibility to ensure that the serialNumber is sufficient to
resolve any subject name collisions.
2.5.4.3 - id-at-commonName
OID value: 2.5.4.3
OID description: The common name attribute type specifies an identifier of an object. A common name is not a directory name; it is a (possibly ambiguous) name by which the object is commonly know in some limited scope (such as an organization) and conforms to the naming conventions of the country or culture with which it is associated.
CommonName ATTRIBUTE::= { SUBTYPE OF name WITH SYNTAX DirectoryString {ub-common-name} ID {id-at-commonName} }
(RFC 3039 :
Qualified Certificate Profile)
OID value: 2.5.4.65
pseudonym ATTRIBUTE::= {
SUBTYPE OF name
WITH SYNTAX DirectoryString
ID {id-at-pseudonym}
}
OID value: 2.5.29.17
OID description: id-ce-subjectAltName This extension contains one or more alternative names, using any of a variety of name forms, for the entity that is bound by the CA to the certified public key.
SubjectAltName EXTENSION::= { SYNTAX GeneralNames IDENTIFIED BY id-ce-subjectAltName } GeneralNames::= SEQUENCE SIZE (1..MAX) OF GeneralName GeneralName::= CHOICE { otherName INSTANCE OF OTHER-NAME, rfc822Name IA5String, dNSName IA5String, (*) x400Address ORAddress, directoryName Name, ediPartyName EDIPartyName, uniformResourceIdentifier IA5String, IPAddress OCTET STRING, registeredID OBJECT IDENTIFIER } (*) – произвольная строка. OTHER-NAME::= SEQUENCE { type-id OBJECT IDENTIFIER value EXPLICIT ANY DEFINED BY type-id }
OID value: 2.5.4.16
OID description: The Postal Address attribute type specifies the address information for the physical delivery of postal messages by the postal authority to the named object. An attribute value for Postal Address will be typically composed of selected attributes from the MHS Unformatted Postal O/R Address version 1 according to CCITT Rec F.401 and limited to 6 lines of 30 characters each, including a Postal Country Name. Normally the information contained in such an address could include an addressee"s name, street address, city, state or province, postal code and possibly a Post Office Box number depending on the specific requirements of the named object.
PostalAddress ATTRIBUTE::= { WITH SYNTAX PostalAddress EQUALITY MATCHING RULE caseIgnoreListMatch SUBSTRINGS MATCHING RULE caseIgnoreListSubstringsMatch ID id-at-postalAddress } PostalAddress::= SEQUENCE SIZE (1..ub-postal-address) OF DirectoryString {ub-postal-string}
OID value: 2.5.4.12
OID description: The Title attribute type specifies the designated position or function of the object within an organzation. An attribute value for Title is string.
Title ATTRIBUTE::= { SUBTYPE OF name WITH SYNTAX DirectoryString {ub-title} ID id-at-title } id-ce-certificatePolicies OBJECT IDENTIFIER::= { id-ce 32 } certificatePolicies::= SEQUENCE SIZE (1..MAX) OF PolicyInformation PolicyInformation::= SEQUENCE { policyIdentifier CertPolicyId, policyQualifiers SEQUENCE SIZE (1..MAX) OF PolicyQualifierInfo OPTIONAL } CertPolicyId::= OBJECT IDENTIFIER PolicyQualifierInfo::= SEQUENCE { policyQualifierId PolicyQualifierId, qualifier ANY DEFINED BY policyQualifierId } -- policyQualifierIds for Internet policy qualifiers id-qt OBJECT IDENTIFIER::= { id-pkix 2 } id-qt-cps OBJECT IDENTIFIER::= { id-qt 1 } id-qt-unotice OBJECT IDENTIFIER::= { id-qt 2 } PolicyQualifierId::= OBJECT IDENTIFIER (id-qt-cps | id-qt-unotice) Qualifier::= CHOICE { cPSuri CPSuri, userNotice UserNotice } CPSuri::= IA5String UserNotice::= SEQUENCE { noticeRef NoticeReference OPTIONAL, explicitText DisplayText OPTIONAL} NoticeReference::= SEQUENCE { organization DisplayText, noticeNumbers SEQUENCE OF INTEGER } DisplayText::= CHOICE { visibleString VisibleString (SIZE (1..200)), bmpString BMPString (SIZE (1..200)), utf8String UTF8String (SIZE (1..200)) }
Появление Интернета внесло кардинальные изменения во многие сферы жизни человека, создав новые возможности. К их числу относятся удаленное осуществление юридических действий и ведение электронного документооборота. Кроме того, в последние годы в нашей стране все более активно внедряется система дистанционного оказания госуслуг. Совершение подобных операций возможно лишь при наличии инструмента, позволяющего осуществить точную идентификацию физического и юридического лица, являющегося одним из участников сделки, или другого действия, предполагающего определенную ответственность перед законом.
Что такое ЭЦП
Как известно, любой бумажный документ имеет юридическую силу только после того, как на нем проставляется подпись лица, имеющего соответствующие полномочия. Очевидно, что в случае электронного документооборота такой подход не подходит. В связи с этим был придуман цифровой аналог росчерка человека — ЭЦП. Она представляет собой реквизит электронного документа, который получается в результате шифрования информации по криптоалгоритму с закрытым ключом. Электронная подпись позволяет:
- удостовериться в отсутствии искажения информации, содержащейся в исходнике с момента формирования ЭЦП (целостность);
- подтвердить факт подписания документа лицом, которому принадлежит электронная подпись (неотказуемость);
- установить принадлежность ЭЦП владельцу сертификата ключа электронной подписи (авторство).
В нашей стране данная технология верификации электронных документов получила официальное признание в 1994 году, когда для нее был разработан соответствующий ГОСТ. Позже был принят закон, регулирующий вопросы, связанные с выдачей ЭЦП и ее использованием.
Сфера использования электронной ЦП
Наличие ЭЦП позволяет регистрироваться и участвовать в торгах и аукционах на электронных площадках, а также пользоваться госуслугами через Интернет. Однако, прежде всего такая виртуальная подпись позволяет подтвердить авторство и подлинность документов и т. д. На данный момент без ЭЦП не может обойтись ни одна компания, которая имеет отношение к коммерции через Интернет. Сфера ее применения расширяется год от года.
Действующий на данный момент Федеральный закон об ЭЦП был принят в 2011 году. Он пришел на смену ФЗ об электронной подписи от 2002 года, который в течение почти 10 лет постоянно подвергался критике за декларативность и чрезмерную и необоснованную насыщенность технической терминологией.
Согласно новому документу ЭЦП может быть трех видов:
- Простая ЭП — это коды, пароли и др. средства, подтверждающие, что данный документ был подписан конкретным лицом.
- Усиленная неквалифицированная ЭП генерируется посредством специальных программ. Она позволяет определить лицо, которое подписало документ, с целью его защиты от несанкционированного изменения. Неквалифицированной ЭП (НЭП) можно заверять документы, на которые в бумажном виде ставится печать.
- Усиленная квалифицированная электронная подпись (КЭП) отличается от НЭП тем, что выдается удостоверяющими центрами (УЦ). Их аккредитация осуществляется в Минкомсвязи РФ. Для использования КЭП требуется квалифицированный сертификат ключа проверки электронной подписи (КСКПЭП). Он представляет собой документ конкретного содержания на бумажном или цифровом носителе.
Заявление на сертификат ключа проверки электронной подписи подается в виде приложения к договору на приобретение соответствующего документа для самого ключа ЭЦП. Оно должно быть оформлено согласно принятым нормативам.
Законом определяются и обязанности сторон онлайн-взаимодействия при использовании ими усиленных электронных подписей. В частности, они должны обеспечивать конфиденциальность ключей своих ЭЦП, а при ее нарушении информировать об этом УЦ и других участников электронного взаимодействия.
Квалифицированный сертификат ключа проверки электронной подписи
Согласно ФЗ от 06 апреля 2011 года (редакция от 23.06.2016) КСКПЭП создается с использованием средств аккредитованного УЦ. В нем должны быть указаны:
- Уникальный номер КСКП ЭП.
- Дата его ввода в действие и окончание срока использования.
- Фамилия, имя и отчество владельца КСКПЭП (для физического лица, не имеющего статуса индивидуального предпринимателя). Для физлица, являющегося ИП, должен быть указан также его основной номер госрегистрации. Для юридического лица из РФ в КСКПЭП должно быть указано название, место нахождения и основной номер госрегистрации владельца КС. В случае выдачи квалифицированного сертификата ключа электронной подписи иностранной организации должен выдаваться идентификационный номер налогоплательщика.
Генерация КСКПЭП
Любая электронная подпись создается специальными программами. Она объединяет открытый и закрытый ключи. Они используются только в паре, и второму требуется обеспечить строжайшую конфиденциальность.
Генерация квалифицированного сертификата ключа проверки электронной подписи физического или юридического лица осуществляется в удостоверяющем центре. При передаче пакета документов на получение ЭП в УЦ требуется представить документ, удостоверяющий личность. Ключи электронной подписи генерируются при помощи специализированного оборудования. Для этого используют надежные криптографические алгоритмы.
В итоге этой процедуры генерации заявитель получает уникальную копию закрытого ключа, которую следует хранить на надежно защищенном цифровом носителе информации. Затем осуществляется регистрация сертификата ЭЦП, который вносится в реестр УЦ.
Обеспечение конфиденциальности
Электронные документы, которым требуется проставление ЭЦП, заверяются путем шифрования закрытым ключом (ЗК). Однако он может работать только при наличии соответствующего открытого ключа. Хранить ЗК ЭЦП следует на устройстве RuToken, которое соответствует российскому стандарту шифрования информации согласно ГОСТ 28147-89. Что касается открытого ключа, то он является общедоступным и используется для проверки авторства подписи.
В качестве носителя информации о ключе могут использоваться не только токен, но и другие устройства, например, флеш-накопитель памяти, смарт-карта либо реестр. Использовать их не следует, так как они не обеспечивают требуемый уровень защиты от несанкционированного доступа к информации.
Установка электронной цифровой подписи: подготовка
Технически осуществить такую процедуру достаточно просто. Рассмотрим, как осуществляется установка ЭЦП с закрытым ключом на носителе eToken на ПК с ОС Windows 7 Professional. Используется КриптоПро CSP.
Нужно отметить, что в данном контексте нет большой разницы между RuToken и eToken. Оба устройства совершенно одинаково работают с КриптоПро CSP. Однако первое из них позволяет подписывать электронные сообщения так, что закрытый ключ остается в токене.
Установка ЭЦП начинается с подготовки. Прежде всего требуется инсталляция драйвера токена и программы КриптоПро CSP (рекомендуются версии 3.6 либо выше).
Процесс установки
Алгоритм действий достаточно прост:
- открывают вкладку «Сервис»;
- переходят в раздел «Просмотреть сертификаты в контейнере».
- нажимают на кнопку «Обзор»;
- выбирают нужного владельца;
- нажимают на «Ок» и «Далее»;
- в открывшемся окне «Серификаты в контейнере закрытого ключа» нажимают на «Установить», а затем на «Да».
Наряду с сообщениями от программы КриптоПро CSP на экране появится сообщение от eToken PKI с просьбой нажать на кнопку «Ок» для записи сертификата на eToken. Однако делать этого не нужно и следует выбрать «Cansel».
Затем нажимают на «Готово» после чего сертификат ключа электронной подписи оказывается в специальном хранилище. При этом процесс нельзя считать завершенным.
Установка корневого сертификата УЦ
Соответствующий файл с расширением .cer открывают двойным щелчком мыши. Затем нужно:
- нажать на кнопку «Установить сертификат» и нажать «Далее» в открывшемся окне;
- указать на действие «Поместить сертификат в следующее хранилище»;
- посредством инструмента «Обзор» указать папку «Доверенные корневые центры сертификации»;
- нажать «Ок» и завершить установку;
- ждать сообщения об успешном завершении операции.
Тестирование
Проверка сертификата электронной подписи осуществляется следующим образом:
- запускают программу КриптоПро CSP;
- открыв «Сервис», нажимают на команду «Протестировать»;
- через инструмент «Обзор» либо по сертификату находят ключевой контейнер и выбирают «Далее»;
- в ответ на появившийся запрос вводят pin-код и нажимают на «Ок».
При этом у пользователя появляется возможность не вводить секретные данные каждый раз, когда необходимо обращаться к контейнеру, содержащему ключ. Для этого достаточно просто поставить галочку перед кнопкой «Запомнить pin-код». Однако специалисты не рекомендуют пользоваться этой возможностью, так как это может нарушить защиту контейнера от несанкционированного доступа.
Но вернемся к процессу тестирования. После введения pin-кода открывается окно с информацией об ошибках. Если их нет, то остается просто нажать «Готово».
Установка ЭП в реестр
В некоторых ситуациях возникает необходимость размножить ключ электронной подписи (закрытый) с целью его использования на нескольких ПК. В таких случаях рекомендуется установить его в реестр. Подобная мера оправдана когда, например, одна и та же подпись используется несколькими сотрудниками одного ведомства или другой организации.
Цифровую подпись можно использовать и через Microsoft Word 2003, предварительно сохранив документ. Для этого последовательно выбирают: «Сервис», «Параметры», «Безопасность» и «Цифровые подписи». Переходят в раздел «Сертификат» и нажимают на вкладку «Ок».
В Microsoft Word 2007 действия следующие: кнопки «Office», «Подготовить», «Добавить ЦП». Далее нажимают на кнопки «Прописать цель подписания документа» и «Выбрать подпись». Завершают процедуру нажатием на «Подписать».
Теперь вы знаете, что такое ЭЦП и сертификат ключа электронной подписи, образец которого можно запросить в УЦ. Использование этих инструментов облегчит многие операции, связанные с вашим бизнесом и сэкономит вам массу сил и времени.
Согласно Федеральному закону Российской Федерации № 63-ФЗ от 06 апреля 2011 года "Об электронной подписи", электронная подпись (далее ЭП) — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Проще говоря, это юридически значимый и наиболее удобный современный инструмент для электронного документооборота и совершения сделок в удаленном режиме. Использование ЭП позволит Вам сэкономить огромное количество времени и сил, а также откроет ряд уникальных возможностей.
Для работы в каких системах пригодна ЭП Вашего Удостоверяющего центра?
Удостоверяющий центр ХМАО - Югры имеет государственную аккредитацию и внесен в перечень аккредитованных удостоверяющих центров. Данный статус дает право выпуска квалифицированных сертификатов ключей проверки электронных подписей для работы:
- На портале Государственных услуг www.gosuslugi.ru и www.zakupki.gov.ru (согласно требованиям Федерального закона № 223-ФЗ от 18 июля 2011 года "О закупках товаров, работ, услуг отдельными видами юридических лиц").
- В системе межведомственного электронного взаимодействия: выпуск сертификатов для органов власти, руководителей органов власти и местного самоуправления.
- На сайте ozhmao.ru для размещения информации о размещении заказов (автоматизированная информационная система Государственного заказа).
- С автоматизированной системой "УРМ" удаленного документооборота, предназначенной для автоматизации финансовой деятельности распорядителей и получателей бюджетных средств.
- С Федеральной службой по регулированию алкогольного рынка (Росалкогольрегулирование) в соответствии с требованиями федерального закона № 218-ФЗ от 18 июля 2011 года о передаче в электронном виде деклараций (отчетности) юридическими лицами и индивидуальными предпринимателями, осуществляющими реализацию алкогольной продукции, в том числе и пива, оптом и в розницу.
- С порталом Росреестра для получения государственных услуг.
- С единым реестром доменных имен, указателей страниц сайтов в сети "Интернет" и сетевых адресов, позволяющих индентифицировать сайты в сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
- В системе электронного документооборота "Дело".
- В ПК «Скиф».
- В Единой системе идентификации и аутентификации (ЕСИА).
- В ИС «Мониторинг».
- В Государственной автоматизированной системе «Управление».
- В Государственной информационной системе «Энергоэффективность» .
- С Федеральной службой по финансовым рынкам (ФСФР)
Нужно ли приезжать в Удостоверяющий центр ХМАО - Югры для подписания Договора?
Нет. В этом нет необходимости. Договор может быть подписан с Вашей стороны и направлен нам по почте. Дата заключения Договора соответствует дате подписания со стороны Удостоверяющего центра ХМАО - Югры.
Нужно ли приезжать в Удостоверяющий центр ХМАО - Югры для получения электронной подписи?
Да. Согласно Федеральному закону Российской Федерации № 63-ФЗ от 06 апреля 2011 года "Об электронной подписи", конкретно статья 18 "Выдача квалифицированного сертификата": "Аккредитованный удостоверяющий центр обязан установить личность заявителя - физического лица, обратившегося к нему за получением квалифицированного сертификата".
Каков срок действия ЭП?
Срок действия ЭП составляет один календарный год с момента изготовления.
Что делать, если ключевой носитель с ЭП утерян?
Владельцу ЭП необходимо сразу уведомить о данном факте Удостоверяющий центр ХМАО - Югры. После чего необходимо заполнить и предоставить в офис Удостоверяющего Центра ХМАО - Югры.
Что делать, если владелец ЭП уволился?
Необходимо предоставить Заявление на аннулирование (отзыв) сертификата открытого ключа Пользователя УЦ ХМАО - Югры в офис Удостоверяющего центра ХМАО - Югры.
Кто может быть пользователем ЭП?
Пользователем ЭП может стать любое физическое или юридическое лицо.
Возможно ли подделать ЭП?
Открытый и секретный ключи однозначно связаны между собой, но невозможно вычислить секретный ключ по открытому. При существующей в настоящее время длине ключа 512 и 1024 бит и с учетом современного уровня развития вычислительной техники не найдено алгоритмов, позволяющих осуществить эту процедуру за приемлемое время.
Что такое сертификат ключа проверки электронной подписи (далее СКП ЭП)?
Cертификат ключа проверки электронной подписи (далее СКП ЭП) - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи
Могут ли руководитель, его заместители, а также главный бухгалтер, иметь индивидуальные ЭП и при этом подписывать документы от имени предприятия, в пределах полномочий, каждый своей ЭП?
Да, могут.
Может ли предприятие работать с одной ЭП?
Да, может.
Как настроить программное обеспечение "КриптоПро CSP" для работы с носителем флэш-диск ("флэшка")?
Для начала вставьте устройство в порт USB Вашего компьютера и убедитесь, что это устройство появилось в системе (важно: данный носитель должен всегда иметь одну и ту же букву логического диска). Выполните "Пуск->Настройка->Панель управления->КриптоПро CSP->Оборудование->Настроить считыватели". Появится окно, в котором будут перечислены считыватели, доступные в данный момент. Для добавления нажмите кнопку "Добавить". Запустится мастер установки считывателя. В окне выбора считывателя выберите считыватель типа "Дисковод" и нажмите кнопку "Далее". В окне выбора соединения выберите букву того логического диска, под которой виден в системе флэш-диск. Подтвердите выбор считывателя (имя считывателя рекомендуется не менять), нажав клавишу "Далее". Завершите работу мастера установки считывателя нажатием кнопки "Готово". После окончания работы мастера устройство появится в списке доступных считывателей.
Как установить сертификат с электронного носителя в хранилище личных сертификатов?
Подключите ключевой носитель, на котором находится электронная подпись. Выполните "Пуск->Настройка->Панель управления->КриптоПро CSP->Сервис". Нажмите на кнопку "Просмотреть сертификаты в контейнере", система отобразит окно ""Сертификаты в контейнере закрытого ключа". Нажмите кнопку "Обзор...". В появившемся окне выберите нужный Вам сертификат и нажмите "OK". Нажмите кнопку "Далее", система отобразит окно "Сертификат для просмотра". Затем нажмите кнопку "Свойства". В появившемся окне нажмите кнопку "Установить сертификат", после чего осуществится запуск "Мастера импорта сертификатов". Нажмите кнопку "Далее". В окне "Хранилище сертификатов" укажите в какое хранилище требуется поместить сертификат, для этого выберите пункт "Поместить все сертификаты в следующее хранилище", нажмите кнопку "Обзор..." и укажите хранилище "Личное", затем последовательно нажмите "OK", "Далее" и "Готово". Когда система отобразит окно, информирующее Вас об успешной установке сертификата, нажмите "OK".
Как экспортировать файл открытого ключа?
Запустите интернет-обозреватель Internet Explorer. Нажмите на кнопку "Сервис", затем на пункт ”Свойства обозревателя”. Далее находите вкладку "Содержание", в ней кнопку "Сертификаты". Выберите сертификат пользователя и нажмите "Экспорт…". Во время выполнения процедуры экспорта во всех окнах оставляете настройки по умолчанию, нажимая кнопку "Далее" (важно: закрытый ключ экспортировать не нужно). Когда Вам предложат указать имя экспортируемого файла, нажмите кнопку "Обзор…", выберите путь для сохранения файла и сохраните его, нажав "Сохранить" (имя файла необходимо писать на английском языке). Затем "Далее" и "Готово". По завершению операций мастер экспорта уведомит Вас о его успешном выполнении.
Как посмотреть серийный номер сертификата?
Необходимо запустить интернет-обозреватель Internet Explorer, нажать на кнопку "Сервис", затем на пункт "Свойства обозревателя". Далее найти вкладку "Содержание", кнопку "Сертификаты". Выбрать сертификат пользователя и нажать кнопку "Просмотр". В появившемся окне выбрать вкладку "Состав", в которой увидите поле серийный номер.
Понятие сертификата ЭЦП
Роль сертификата электронной цифровой подписи заключается в указании на то, что личность владельца ЭЦП подтверждена третьим лицом, которому доверяют стороны электронного документооборота. Этим третьим лицом выступает удостоверяющий центр (далее по тексту — УЦ), который создает и выдает сертификат проверки ключа ЭЦП заявителя.
Мы подобрали для вас отличные сервисы электронной отчетности !
Сертификат, который выдается владельцу ЭЦП, может быть оформлен как в бумажной, так и в электронной форме (п. 4 ст. 14 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ, далее по тексту — Закон).
Сертификат нужен для того, чтобы получатель электронной документации, подписанной владельцем ЭЦП, смог удостовериться, что подпись действительно принадлежит именно этому лицу и при подписании был использован действующий ключ.
Сертификат ключа ЭЦП, согласно п. 2 ст. 14 Закона, содержит следующую информацию:
- номер, дату выдачи и срок действия сертификата;
- Ф. И. О. (наименование юрлица) владельца ЭЦП, а также его местонахождение;
- уникальный ключ для проверки ЭЦП (открытый ключ);
- название используемого средства ЭЦП и перечисление стандартов соответствия (требований) для ключей (открытого и закрытого);
- название УЦ, выдавшего сертификат;
- иную информацию, которая, как правило, необходима для квалифицированного сертификата.
Если сертификат выдается юрлицу, то наряду с наименованием владельца указываются также Ф. И. О. физлица, которое может действовать от его имени согласно уставу или доверенности (п. 3 ст. 14 Закона). В случае если сертификат проверки ключа предназначен для автоматического создания и проверки ЭЦП при оказании госуслуг, информации о физлице, уполномоченном совершать действия от имени юридического лица, может не указываться.
Виды сертификатов цифровой подписи
Сертификаты создаются лишь для усиленных ЭЦП, при этом в зависимости от степени защищенности выделяются квалифицированные и неквалифицированные их разновидности. Квалифицированные сертификаты выдают лишь аккредитованные в Минкомсвязи России УЦ.
Согласно п. 2 ст. 17 Закона, в квалифицированном сертификате указываются следующие сведения:
- уникальный номер, дата начала и окончания действия сертификата;
- Ф. И. О. владельца-физлица (для ИП также регистрационный номер) либо наименование, номер госрегистрации, местонахождения владельца-юрлица (если это иностранная компания, то указывается и ИНН);
- ИНН и страховой номер персонального лицевого счета (для физлица) или ИНН (для юрлица);
- уникальный проверочный ключ ЭЦП;
- названия используемого средства ЭЦП, используемых при создании ключей (подписи и проверки), и сертификата аккредитованных УЦ средств, а также реквизиты, подтверждающие соответствие средств требованиям закона;
- название и адрес УЦ, выдавшего сертификат, номер квалифицированного сертификата самого УЦ;
- ограничения по использованию сертификата (если установлены).
Кроме того, в квалифицированный сертификат могут быть включены сведения о праве заявителя действовать от имени третьих лиц, если он представил в УЦ все подтверждающие этот факт документы (п. 3 ст. 17 Закона).
Выдается квалифицированный сертификат в той форме, которая разрешена специальным федеральным органом в сфере обеспечения безопасности (п. 4 ст. 17 Закона). В случае если аккредитованный УЦ лишается своего квалифицированного сертификата либо был прекращен или истек срок его аккредитации, все выданные им квалифицированные сертификаты прекращают свое действие (п. 5 ст. 17 Закона).
Не знаете свои права?
Кто выдает сертификаты ЭЦП
Как уже упоминалось, сертификаты ключей проверки ЭЦП выдают УЦ, а квалифицированные сертификаты — лишь аккредитованные УЦ. Согласно п. 1 ст. 13 Закона, в обязанности УЦ входит создание и выдача сертификатов заявителям при условии установления их личности и полномочий, если это необходимо.
В силу своих функциональных полномочий УЦ:
- устанавливает срок действия сертификата;
- аннулирует сертификаты в случае необходимости;
- ведет реестр выданных и аннулированных сертификатов, внося в него сведения, которые указываются в данных документах;
- определяет порядок ведения реестра неквалифицированных сертификатов и доступа к нему;
- исходя из имеющихся в реестре данных осуществляет проверку уникальности ключей проверки ЭЦП;
- проверяет подлинность ЭЦП при обращении участника электронного документооборота.
УЦ обязан:
- информировать своих клиентов — владельцев ЭЦП об условиях использования подписи, связанных с этим рисках и мерах обеспечения безопасности ЭЦП;
- актуализировать сведения, содержащиеся в реестре сертификатов, защищать их от неправомерного доступа, блокирования, уничтожения;
- безвозмездно предоставлять доступ к информации, содержащейся в реестре сертификатов, лицу при его обращении в установленном порядке, в т. ч. касающейся аннулирования сертификата;
- отказать заявителю в создании сертификата, если есть сомнения, что он действительно является владельцем ЭЦП и у него есть достаточные полномочия, ключ проверки не соответствует ключу ЭЦП или есть сведения из реестра о неуникальности ключа.
УЦ не могут в сертификате ключа проверки своего клиента указывать ключ проверки, выданный ему другим УЦ (п. 2.1 ст. 13 Закона). При выдаче квалифицированного сертификата информация о заявителе (номер сертификата, срок его действия, название УЦ) отправляется в единую систему аутентификации и идентификации (п. 5 ст. 18 Закона). Регистрация заявителя в указанной единой системе осуществляет бесплатно по его желанию.
Согласно п. 6 ст. 13 Закона, в случае ликвидации УЦ обязан уведомить за 1 месяц своих заявителей о данном событии. После прекращения деятельности УЦ вся содержащаяся в реестре сертификатов информация уничтожается. Если УЦ прекращает свою деятельность, но передает свои функции другим лицам, об этом также за 1 месяц до предполагаемого события должны быть уведомлены все заявители. После ликвидации УЦ вся информация, содержащаяся в реестрах, передается в таком случае другому лицу.
Сроки действия сертификатов ЭЦП
При создании сертификата УЦ устанавливает срок его действия (подп. 2 п. 1 ст. 13 Закона). Обычно этот срок составляет 1 год, но если заявитель заранее знает, что информация, содержащаяся в сертификате, изменится в ближайшее время, то возможно установление более короткого срока.
Сертификат, как правило, действует с момента его выдачи (п. 5 ст. 14 Закона). В случае компроментации/утери ключей заявителю необходимо обратиться в УЦ для создания новых и, соответственно, оформления нового сертификата.
Согласно п. 6 ст. 14 Закона, сертификат проверки ЭЦП может прекратить свое действие:
- по окончании установленного срока;
- при ликвидации УЦ;
- по заявлению владельца сертификата;
- в других случаях, установленных нормативными актами или соглашением между УЦ и заявителем.
Аннулирование сертификата УЦ, согласно п. 6.1. ст. 14 Закона, происходит в случае, если:
- выявлено, что владелец сертификата не владеет ключом ЭЦП, который соответствует ключу проверки;
- вступило в силу решение суда, устанавливающее содержание в ключе проверки ЭЦП недостоверной информации;
- установлено, что ключ проверки ЭЦП в сертификате оказался неуникальным.
Сведения о прекращении действия (аннулировании) сертификата вносятся УЦ в реестр сертификатов в течение 12 часов с момента появления на то оснований (п. 7 ст. 14 Закона), после чего действие сертификата прекращается.
Итак, сертификат ЭЦП является документом, выдаваемым заявителю УЦ при установлении им его личности и полномочий. В сертификате отображается информация о владельце ЭЦП (и его уполномоченном представителе, если владелец — юрлицо) и выдавшем УЦ, а также содержится открытый ключ. По своей природе сертификат является удостоверяющим личность владельца ЭЦП документом при ведении электронного документооборота.
Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня... Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.
Олеся Михайловна - генеральный директор ООО "ВКС"
От имени предприятия ГУП "Севастопольское авиационное предприятие" выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!
Гуськова Лилия Ивановна - менеджер. ГУП "САП"
Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!
Надия Шамильевна - предприниматель ИП Аношкина
От лица компании "АКБ-Авто" и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.
Насибуллина Альфира - Старший менеджер "АКБ-Авто"
Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом!!! Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех.поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо!!!
Ольга Севостьянова.
Приобретение ключа оказалось очень лёгким и, даже, приятным. Огромная благодарность за содействие менеджеру Михаилу. Объясняет сложные и массивные для понимания вещи ёмко, но очень понятно. К тому же я позвонил на горячую бесплатную линию и в режиме он-лайн, вместе с Михаилом оставил заявку. Мне изготовили ключ через 2 рабочих дня. В общем, рекомендую если экономите своё время, но в тоже время хотите иметь понимание - что покупаете и за что платите. Спасибо.
Левицкий Александр Константинович г. Самара
Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.
Стоянова Н.Л. - главный бухгалтер ООО "СИТЕКРИМ"
Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!
Дмитрий Фомин
ООО "Эксперт Система" благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!
Суханова М.С. - Оценщик ООО "Эксперт Система", г. Волгоград
Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.
Пономарев Степан Геннадьевич
Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.
Леонид Некрасов
Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.