НовостиОбзорыСобытияIT@Work
Документооборот/ECM:

Блог

Виды электронных подписей по российскому законодательству

     На днях мне довелось поучаствовать (в качестве слушателя) в вебинаре, посвященном теме электронных подписей, где еще раз убедился в огромном интересе к данной теме. Вопросов много и они очень разноплановые. В этой заметке я хочу повести речь главным образом об одном конкретном аспекте - видах электронных подписей (ЭП), предусмотренных законом 63-ФЗ "Об электронной подписи" (далее по тексту даются ссылки именно на этот закон в формате ст. [номер статьи], ч. [номер части]).

   Наверное всем известно, что всего законом предусмотрено 3 вида подписи (ст. 5, ч. 1): простая ЭП, усиленная неквалифицированная ЭП и усиленная квалифицированная ЭП. Давайте разберемся с каждым видом отдельно, тем более, что далеко не всё так очевидно как хотелось бы.

    Для начала уясним некоторые базовые понятия. Во-первых, необходимо отличать электронную подпись от средств, используемых для ее создания. Часто приходится слышать фразы типа: "Вам необходимо получить электронную подпись в удостоверяющем центре". К сожалению это так прижилось, что может прозвучать даже на крупных конференциях, посвященных этой тематике. Согласно же закону (ст. 2, ч. 1), электронная подпись - это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) и т.д. Не вдаваясь в детали, здесь следует уяснить только то, что ЭП имеет смысл исключительно в совокупности с подписанным ей документом. УЦ никак не может выдать вам электронную подпись, иначе вам бы пришлось ходить туда с каждым вашим документом и получать ЭП конкретно на этот документ. Можно привести такую аналогию - УЦ дает вам специальную электронную ручку и электронные чернила, но подписи ставите вы самостоятельно. При этом именно от средств, которыми вы обладаете, и будет зависеть вид полученной подписи. Другими словами нельзя одними и теми-же электронными ручкой и чернилами получать то усиленную квалифицированную, то простую ЭП и т.д.

    Понятнее всего усиленная квалифицированная подпись. Она основана на алгоритмах ассиметричного шифрования. Принцип действия описан много раз и здесь я не буду делать это снова. Когда идет речь об ассиметричном шифровании, всегда имеем два ключа - одним шифруем, другим расшифровываем. Если говорить об электронной подписи - одним подписываем, другим проверяем. В законе они названы соответственно: ключ электронной подписи и ключ проверки электронной подписи (ст. 2, чч. 5 и 6).

    Что же делает усиленную подпись также квалифицированной? Согласно ст. 5, ч. 4, п. 1,  главный признак - это наличие квалифицированного сертификата. А он в свою очередь может быть выдан только аккредитованным удостоверяющим центром (ст. 2, п. 3).
    Важно! Многие УЦ самостоятельно генерируют закрытый ключ, в вашем отсутствии, и вполне могут хранить его копию даже после выдачи вам ключа на защищенном носителе. Вы должны понимать связанные с этим риски. Только уникальность имеющегося у вас закрытого ключа гарантирует авторство ЭП, которые вы этим ключом создаете. Чем больше людей потенциально могут получить доступ к вашему ключу или его копии, тем больше рисков, связанных с неправомерным использованием вашей подписи третьими лицами. В идеале закрытый ключ должен генерироваться вами и не покидать пределы носителя. Удостоверярющему центру, для генерации сертификата, не нужен ваш закрытый ключ, для этого им достаточно передать открытый ключ, парный вашему закрытому, который надежно хранится на вашем персональном ключевом носителе. Современные носители реализуют технологию неизвлекаемости ключа, что еще больше повышает вашу безопасность. Если даже по вашему недосмотру ключ попадет в чужие руки, злоумышленник не сможет сделать его копию.

    С неквалифицированной ЭП вроде бы тоже все понятно. Это то же самое, только отсутствует требование к наличию квалифицированного сертификата. Может немного запутать фраза о том, что "при использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться" (ст. 5, ч. 5). Сертификат ключа служит для "привязки" подписи к конкретному лицу, поэтому в каких-то конкретных ситуациях могут использоваться просто пары ключей (открытый/закрытый), например когда открытый ключ привязывается к учетной записи пользователя в информационной системе. С другой стороны, существует множество стандартного ПО, работающего именно с сертификатами ключей. Например позволяющее сохранять сертификаты в реестре операционой системы, привязывать их к закрытому ключу и т.д. Поэтому в большинстве случаев гораздо удобнее и проще пользоваться самовыпущенными сертификатами (а не чистыми парами ключей), что позволяет задействовать стандартные программные средства для создания неквалифицированных подписей.

    Последний вид подписи, который необходимо рассмотреть - простая ЭП. Он одновременно самый простой и самый непонятный. Именно по поводу него чаще всего возникают вопросы и споры на тему что можно, а что нельзя считать простой электронной подписью. Определение в законе дано крайне краткое и размытое - "Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом." (ст. 5, ч. 2). Не сильно проясняет ситуацию и статья 9, в которой описываются правила применения простой ЭП. Под эту статью например вполне попадают сообщения электронной почты, т.к. в них содержится указание на лицо, создавшее сообщение.

    Так что получается любое сообщение электронной почты можно считать документом, подписанным простой электронной подписью? В общем случае нет, хотя в определенных ситуациях это может быть и так. Что это за ситуации? Все очень просто! Для чего вам нужна электронная подпись (любого вида)? Чтобы заверять ей документ. В статье 6 закона 63-ФЗ приведены условия юридической значимости документов, заверенных ЭП (да, там сказано иначе, об эквивалентности их бумажным документам, но это отдельная долгая тема для обсуждения!). Согласно 2-й части этой статьи, для признания документов с простой (равно как и неквалифицированной) ЭП необходимо соглашение сторон (т.к. другие законы или нормативные акты эти отношения не регулируют). Вот если между вами и вашим контрагентом существует соглашение, согласно которому вы договорились считать сообщения электронной почты документами, подписанными простой ЭП, ваш логин/пароль от электронной почты становится той самой простой ЭП.
Малых Вадим
А по поводу того, о чем вы говорите, нужно отдельную заметку писать. Да и не заметку, а статью. А еще лучше научный труд :)
Колесов Андрей
Он (труд) у меня в плане стоит уже года два :-)
Колесов Андрей
Пользуясь выходным днем... Не очень по теме, хотя - в какой-то мере
Фото из страны победившего социализма:



Это не парад ретро-автомобилей, это обычная местная картинка (но - столичная).
Я сейчас на партнерской конференции 1С. В прошлом году она проходила в Доминикане, сейчас на Кубе.
Доминикана - одна из самых бедных стран Латинской Америки. Оказалось, есть еще беднее....
А ведь Куба была одной из самых развитых страны Латинской Америки..