Рассказываем, как получить ЭЦП, как она работает и какие есть подводные камни.
Как работает электронная подпись
Электронная цифровая подпись (ЭЦП) — это механизм, который позволяет удаленно подписывать электронные документы. Электронная подпись, как и рукописная, подтверждает, что вы ознакомились с содержимым и согласны с ним.
Ценность ЭЦП еще и в том, что она защищает документ от подделки: если после подписания что-то меняется, это всегда можно выявить, и подпись станет недействительной. С помощью цифровых подписей также можно идентифицировать личность подписанта.
Практическое применение электронной подписи
Электронная подпись помогает защитить документы и автоматизировать бумажную волокиту. Вот лишь малая часть того, что можно сделать с помощью электронной подписи:
- взять ипотеку;
- подать отчет в налоговую;
- подписать договор, акт или счет между подрядчиками, клиентами и компаниями;
- зайти в онлайн-сервис;
- запросить документы от госведомств (например, от ФНС или ЕГРИП);
- зарегистрировать бизнес;
- участвовать в тендерах и госзакупках;
- проводить транзакции в блокчейне;
- подать иск;
- отправить заявление на «Госуслугах».
Виды электронных подписей
В России используются три основных типа электронных подписей:
- Простая электронная подпись (ПЭП) — базовый уровень. Это может быть, например, код из SMS или простой чекбокс на сайте. ПЭП используют для подтверждения входа, оформления заказов, согласия с политикой конфиденциальности на сайтах.
- Усиленная неквалифицированная электронная подпись (НЭП) — создается с помощью криптографических средств, чаще всего с помощью специальных программ. Используется для электронного документооборота и деловой переписки внутри компаний.
- Усиленная квалифицированная электронная подпись (КЭП) — самый надежный и универсальный вариант, подходит для любых юридически значимых действий: подписания договоров, оформления налоговой отчетности, аккредитации на электронных аукционах. КЭП полностью приравнивается к собственноручной подписи.
Помимо этого, электронные подписи делят на присоединенные и открепленные.
- Открепленная подпись (detached signature) генерируется в виде отдельного документа, обычно с расширением .sig или .p7s. В итоге пользователь получает два файла: например, pdf с договором и sig-файл с ЭЦП. При этом файл с ЭЦП не выглядит как обычный текст — это просто набор зашифрованных данных.
- Присоединенная подпись (embedded signature) встраивается непосредственно в исходный файл. Зашифрованный хеш внедряется в структуру документа, и программа-просмотрщик сразу считывает и распознает подпись. Такие файлы могут иметь самые разные расширения: привычные .pdf, .xml, .docx или, например, .p7m.
Как шифруется электронная подпись
Основа всех электронных подписей — хеш-функция. Она превращает данные в небольшую последовательность байтов, уникальную для каждого исходного файла. Чтобы защитить НЭП или КЭП, полученный хеш шифруется асимметрично. В результате создаются два ключа:
- Закрытый — содержит криптографическую информацию, которая доступна только подписанту. Именно он шифрует хеш.
- Открытый — доступен всем, кто получает подписанный документ. С помощью открытого ключа человек может расшифровать хеш и проверить, не менялся ли документ и кто именно его подписал. Если расшифрованный хеш из подписи и хеш из полученного документа совпадают, система считывает ЭЦП как подлинную. При этом сам по себе открытый ключ еще не доказывает, что он принадлежит именно вам. Поэтому открытый ключ от НЭП и КЭП упаковывают в электронный сертификат, который выдает удостоверяющий центр — как правило, это частная компания или государственное ведомство.
Квалифицированные ЭЦП в России обязательно шифруют с помощью эллиптических кривых. Иногда для ЭЦП также испрользуют алгоритмы RSA и ECDSA. А вот простая электронная подпись может вообще не шифроваться или использовать самые базовые методы (например, обычный пароль или код подтверждения через SMS).
Безопасно ли пользоваться ЭЦП
При электронном подписании документов самое важное — надежно хранить закрытый ключ. При его компрометации злоумышленники смогут имитировать вашу цифровую личность, получить доступ к конфиденциальным документам и взаимодействовать с ними от вашего имени.
Чтобы защитить закрытый ключ, лучше всего хранить его в виде физического токена — как правило, выглядит он как запароленная и зашифрованная USB-флешка. Не вставляйте ее в непроверенные устройства и не передавайте никому. Если вы не можете хранить ключ на физическом носителе, проверьте, что ваше устройство надежно зашифровано. Можно использовать облачные E2EE-сервисы или локальные зашифрованные контейнеры.
Надежность электронной подписи, конечно, достаточно высока, но есть нюансы. Все зависит не только от используемого алгоритма шифрования, но и, например, от удостоверяющего центра (УЦ), который выдает сертификаты, либо от безопасности хранения физического токена с закрытым ключом. Зачастую при использовании стандартизированных алгоритмов и УЦ с хорошей репутацией в надежности электронной подписи сомневаться не стоит. Взломать ее можно только через цепочку поставок (скомпрометировать УЦ методами социальной инженерии, получить доступ к физическому токену) либо через технические уязвимости в алгоритмах — что тоже очень нетривиальная задача. Однако и от пользователя требуется соблюдение некоторых правил: обеспечивать физическую безопасность физических токенов; для важных документов лучше использовать только КЭП. В остальных случаях подойдет НЭП. ПЭП используется только в качестве дополнительной меры либо когда не требуется обеспечивать высокую защищенность передаваемых данных; по возможности использовать ЭП с временными метками или с ограниченным сроком действия. Тогда, даже если ваш старый сертификат или ключ утекут, злоумышленники не смогут подписывать документы вашим именем.
Как сделать электронную подпись
Получить неквалифицированную электронную подпись можно через портал «Госключ». Он потребует авторизацию через подтвержденный аккаунт в «Госуслугах». ПЭПы и НЭПы также выдают частные сервисы, которые занимаются электронным подписанием документов.
А вот для того, чтобы работать с усиленными квалифицированными ЭЦП, нужно вначале обратиться в один из аккредитованных удостоверяющих центров. Он подберет для вас нужный сертификат, и только после этого вы сможете получить УКЭП. Срок действия сертификата — около года, затем нужно будет получать новый.
Главное об ЭЦП
Электронная цифровая подпись (ЭЦП) позволяет подписывать документы удаленно. Усиленные электронные подписи защищены асимметричным шифрованием — благодаря открытому ключу любой человек может отследить изменения в документе и отличить оригинальную подпись от подделки. Закрытый же ключ доступен только подписанту, и поэтому его нужно надежно хранить. Подойдет физический USB-токен или зашифрованный контейнер на устройстве.
Несмотря на сильную защиту КЭП и НЭП, стоит предпринимать базовые меры предосторожности: основную угрозу здесь несет не технический, а человеческий фактор.
