Что такое сертификат открытого ключа

Как проверить электронную подпись

Установить подлинность ЭП можно несколькими способами:

  • С помощью специально разработанного программного обеспечения, например, «Крипто АРМ». Для этого надо приобрести ПО на сайте разработчика или воспользоваться бесплатной версией, которая имеет ограниченный функционал, вполне достаточный для проверки электронной подписи.
  • На сайте государственных услуг в режиме онлайн. Самым простым способом определения подлинности ЭП является проверка ее сертификата. Для этого надо загрузить его электронную версию в специальную форму на сайте.
  • Используя интернет-сервисы, которых в сети несколько. Большинство из них являются удостоверяющими центрами, поэтому услуга ничего не будет стоить.

Рут программы

Некоторые основные программы содержат список центров сертификации, которым по умолчанию доверяют. Это упрощает конечным пользователям проверку сертификатов, а людям или организациям, запрашивающим сертификаты, проще узнать, какие центры сертификации могут выдать сертификат, который будет пользоваться широким доверием

Это особенно важно в HTTPS, где оператор веб-сайта обычно хочет получить сертификат, которому доверяют почти все потенциальные посетители их веб-сайта.

Политики и процессы, которые поставщик использует для решения, каким центрам сертификации следует доверять их программному обеспечению, называются корневыми программами. Самые влиятельные корневые программы:

Браузеры, отличные от Firefox, обычно используют возможности операционной системы, чтобы решить, каким центрам сертификации можно доверять. Так, например, Chrome в Windows доверяет центрам сертификации, включенным в корневую программу Microsoft, а в macOS или iOS Chrome доверяет центрам сертификации в корневой программе Apple. Edge и Safari также используют соответствующие хранилища доверенных сертификатов операционной системы, но каждый из них доступен только в одной ОС. Firefox использует хранилище доверенных сертификатов Mozilla Root Program на всех платформах.

Программа Mozilla Root работает публично, а ее список сертификатов является частью веб-браузера Firefox с открытым исходным кодом, поэтому он широко используется за пределами Firefox. Например, хотя общей корневой программы Linux не существует, многие дистрибутивы Linux, такие как Debian, включают пакет, который периодически копирует содержимое списка доверия Firefox, который затем используется приложениями.

Корневые программы обычно предоставляют набор допустимых целей с включенными в них сертификатами. Например, некоторые центры сертификации могут считаться доверенными для выдачи сертификатов сервера TLS, но не для сертификатов подписи кода. На это указывает набор битов доверия в системе хранения корневых сертификатов.

Как проверить УЦ, «агента» и квалифицированный сертификат

Как было сказано выше, выпуск квалифицированных сертификатов вправе осуществлять только аккредитованный УЦ. Поэтому, даже если вы получаете квалифицированный сертификат у «агента» – доверенного лица УЦ, сначала вам следует изучить деятельность самого УЦ.

Для правильного выбора УЦ рекомендуем обратить внимание на следующие критерии:

  • наличие у него аккредитации Минкомсвязи России;
  • он является доверенным УЦ ФНС России, ПФР, Росстата;
  • наличие лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации;
  • наличие лицензии Центра по лицензированию, сертификации и защите государственной тайны ФСБ России;
  • аккредитован на всех электронных торговых площадках госзакупок;
  • имеет многолетний опыт работы на рынке электронных услуг;
  • есть представители в различных регионах РФ;
  • наличие круглосуточного сервиса техподдержки.

Информацию об аккредитации УЦ вы можете получить в Реестре, размещаемом на сайте Минкомсвязи России. В нем перечислены все существующие на данный момент аккредитованные УЦ. Кроме того, есть информация об УЦ с приостановленной аккредитацией и с досрочным прекращением аккредитации.

Важно!

Электронная подпись является аналогом собственноручной подписи. Ответственность за ее применение лежит на том лице, на которое она была оформлена.

При дистанционном оформлении квалифицированного сертификата процедура удостоверения личности не в полной мере соответствует требованиям законодательства. Он может попасть к лицу, которое на самом деле заявителем не является. Для номинального владельца квалифицированного сертификата это влечет юридические, финансовые, налоговые риски и другие негативные последствия. Подробнее

Проверку аутентичности квалифицированного сертификата вы можете провести в онлайн-режиме на Портале госуслуг. Следуя указаниям, вы получите заключение о подлинности сертификата. В документе должно значиться: «Подлинность сертификата подтверждена. Статус сертификата, использованного для подтверждения подлинности ЭП: действителен, сертификат выдан аккредитованным удостоверяющим центром».

При получении квалифицированного сертификата у «агента» – доверенного лица УЦ рекомендуем лично явиться к нему в офис и в первую очередь обязательно поинтересоваться, кто выпустил сертификат, а также запросить документы и лицензии УЦ.

Далее следует собственноручно передать все необходимые с вашей стороны документы для оформления и подписать заявление на выпуск квалифицированного сертификата. Это будет являться гарантией того, что «агент» повторно не выпустит сертификат на ваше имя без вашего ведома.

При заключении договора обращайте внимание на прописанные в нем условия. Предметом договора должно являться оказание конкретных услуг по обеспечению юридически значимого электронного документооборота в части выпуска квалифицированного сертификата ключа проверки электронной подписи

Только при соблюдении перечисленных выше условий «агент» несет полную ответственность в соответствии с положениями Закона № 63-ФЗ.

Из документа

1. Договор на обработку фискальных данных заключается между оператором фискальных данных и пользователем, за исключением случая, предусмотренного пунктом 7 статьи 2 настоящего Федерального закона.

В заключение отметим, что возникновение рассмотренной в статье ситуации с «агентом» можно исключить путем внесения изменений в Закон № 63-ФЗ. В настоящее время его положения четко не устанавливают обязательность присутствия УЦ в качестве стороны в заключаемом договоре. Необходимо ввести норму по аналогии с Федеральным законом от 22 мая 2003 г. № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа», согласно которой договор на предоставление квалифицированного сертификата ключа проверки электронной подписи может заключаться только между УЦ и пользователем. В таком случае «агент» сможет действовать только от имени УЦ.

Теперь по Борщеву HTTPS

  • Очевидно, что на своей стороне вы можете только сгенерировать приватный ключ и запрос на подпись сертификата.
  • При генерировании запроса в качестве Common Name обязательно нужно указывать ServerName вашего виртуального хоста и все алиасы, которые вы пропишете для него в конфигурации веб-сервера. Например, domain.tld и www.domain.tld, хотя «www» CA обычно сами добавляют при выпуске сертификатов. Чаще всего можно указать просто *.domain.tld (чтобы запросить так называемый wildcard certificate), но возможно ли это, нужно узнавать у конкретного CA, а также четко понимать последствия такого решения. Как правило, общедоступные CA не дают в качестве алиаса использовать IP-адрес.
  • При генерировании запроса не стоит указывать challenge password, иначе вам придется вводить его вручную при каждом рестарте веб-сервера.
  • Обычно общедоступные CA — это маститые конторы вроде Comodo, Symantec и GoDaddy. Выпуск сертификата стоит денег, а хорошего сертификата — много денег. Впрочем, помимо них относительно недавно существует Let’s Encrypt — бесплатный проект, которому склонны доверять многие, но я бы очень хорошо подумал, какие ресурсы и при каких обстоятельствах защищать их сертификатами.
  • Эти ребята договорились с другими ребятами таким образом, что последние предустанавливают сертификаты (публичные части ключей, т.е. ca.crt из прошлого примера) этих CA в свои браузеры. То есть о PKI как таковой речи быть не может. Просто все договорились верить определенным компаниям. Это не плохо, так как HTTPS в конечном итоге нужен для шифрования трафика, а шифровать его можно и самоподписанной парой ключей. Скорее, тут вопрос престижа, чтобы не светить на весь интернет предупреждением о просроченном/недействительном сертификате.
  • Некоторые особо одаренные CA предлагают для удобства сгенерировать приватный ключ и CSR за вас. Этого делать не надо. Надеюсь, понятно, почему.
  • О сроке действия сертификатов. Всегда нужно заранее продумать систему их своевременного обновления. Особенно это актуально для сертификатов от Let’s Encrypt, срок действия которых составляет всего 3 месяца (на момент написания).
  • И о договоренностях между «этими ребятами». Как оказалось после давешней фееричной истории с Google и Symantec, теперь нужно уметь подстелить соломки и на такой «веселый» случай.

Установка электронной цифровой подписи: подготовка

Технически осуществить такую процедуру достаточно просто. Рассмотрим, как осуществляется установка ЭЦП с закрытым ключом на носителе eToken на ПК с ОС Windows 7 Professional. Используется КриптоПро CSP.

Нужно отметить, что в данном контексте нет большой разницы между RuToken и eToken. Оба устройства совершенно одинаково работают с КриптоПро CSP. Однако первое из них позволяет подписывать электронные сообщения так, что закрытый ключ остается в токене.

Установка ЭЦП начинается с подготовки. Прежде всего требуется инсталляция драйвера токена и программы КриптоПро CSP (рекомендуются версии 3.6 либо выше).

Понятие сертификата ЭЦП

Роль сертификата электронной цифровой подписи заключается в указании на то, что личность владельца ЭЦП подтверждена третьим лицом, которому доверяют стороны электронного документооборота. Этим третьим лицом выступает удостоверяющий центр (далее по тексту — УЦ), который создает и выдает сертификат проверки ключа ЭЦП заявителя.

Сертификат, который выдается владельцу ЭЦП, может быть оформлен как в бумажной, так и в электронной форме (п. 4 ст. 14 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ, далее по тексту — Закон).

Сертификат нужен для того, чтобы получатель электронной документации, подписанной владельцем ЭЦП, смог удостовериться, что подпись действительно принадлежит именно этому лицу и при подписании был использован действующий ключ.

Сертификат ключа ЭЦП, согласно п. 2 ст. 14 Закона, содержит следующую информацию:

  • номер, дату выдачи и срок действия сертификата;
  • Ф. И. О. (наименование юрлица) владельца ЭЦП, а также его местонахождение;
  • уникальный ключ для проверки ЭЦП (открытый ключ);
  • название используемого средства ЭЦП и перечисление стандартов соответствия (требований) для ключей (открытого и закрытого);
  • название УЦ, выдавшего сертификат;
  • иную информацию, которая, как правило, необходима для квалифицированного сертификата.

Если сертификат выдается юрлицу, то наряду с наименованием владельца указываются также Ф. И. О. физлица, которое может действовать от его имени согласно уставу или доверенности (п. 3 ст. 14 Закона). В случае если сертификат проверки ключа предназначен для автоматического создания и проверки ЭЦП при оказании госуслуг, информации о физлице, уполномоченном совершать действия от имени юридического лица, может не указываться.

Как работает: сертификаты

Элек­трон­ная под­пись состо­ит из двух прин­ци­пи­аль­ных частей:

  1. Сер­ти­фи­кат для удо­сто­ве­ре­ния подписывающего.
  2. Крип­то­гра­фи­че­ская часть для про­вер­ки под­лин­но­сти документа.

Гру­бо гово­ря, ЭП долж­на гаран­ти­ро­вать, что доку­мент под­пи­са­ли имен­но вы и что вы под­пи­са­ли имен­но этот документ.

В сер­ти­фи­ка­те хра­нят­ся дан­ные о вла­дель­це подписи:

  • кто вла­де­лец этой подписи;
  • откры­тый ключ для про­вер­ки подписи;
  • когда закан­чи­ва­ет­ся срок дей­ствия подписи;
  • како­го уров­ня доку­мен­ты мож­но под­пи­сы­вать этой подписью;
  • кто выдал сертификат;
  • и дру­гие слу­жеб­ные данные.

Но смысл сер­ти­фи­ка­та не в том, что там хра­нят­ся эти дан­ные, а в том, кто эти дан­ные туда поло­жил. В Рос­сии сер­ти­фи­ка­ты и ЭП выда­ют спе­ци­аль­ные удо­сто­ве­ря­ю­щие цен­тры — это ком­па­нии, кото­рые гаран­ти­ру­ют, что сер­ти­фи­кат выда­ёт­ся имен­но тому, кто в этом сер­ти­фи­ка­те указан.

Что­бы полу­чить сер­ти­фи­кат, вы при­хо­ди­те лич­но в эту ком­па­нию (удо­сто­ве­ря­ю­щий центр), пока­зы­ва­е­те доку­мен­ты, фото­гра­фи­ру­е­тесь. Вас зано­сят в базу удо­сто­ве­ря­ю­ще­го цен­тра и выда­ют клю­чи элек­трон­ной под­пи­си. Так все участ­ни­ки элек­трон­но­го доку­мен­то­обо­ро­та будут уве­ре­ны, что все доку­мен­ты, под­пи­сан­ные ваши­ми клю­ча­ми, под­пи­са­ны имен­но вами.

НОВОЕ В ЗАКОНОДАТЕЛЬСТВЕ ОБ ЭП

В конце декабря 2019 года в связи с совершенствованием регулирования в сфере ЭП Госдума приняла в третьем чтении законопроект № 747528-7 «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»» (далее – законопроект № 747528-7), который направлен на создание более безопасной цифровой среды. На момент публикации статьи законопроект одобрен Советом Федерации и направлен на подпись Президенту России. Это значит, что текст предлагаемых поправок сформирован окончательно. Проанализируем, какие изменения нас ожидают с 01.07.2020.

Изменение 1: все участники электронного взаимодействия будут признавать усиленную квалифицированную ЭП

Сейчас каждая структура устанавливает свои требования к содержанию сертификата ключа проверки ЭП. Организациям это не очень удобно, поскольку на разных порталах нужно получать свой вариант. Законопроект устраняет этот недостаток: теперь во всех информационных системах будет признаваться единая усиленная квалифицированная ЭП.

С момента вступления закона в силу ни один участник ЭДО не сможет ограничить признание усиленной квалифицированной ЭП на своей площадке. Ограничения можно будет устанавливать, только если это прямо предусмотрено Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ).

Изменение 2: появится новый вид организаций – доверенные третьи стороны

Доверенные третьи стороны будут оказывать определенные услуги участникам электронного взаимодействия, а именно:

  • подтверждать действительность ЭП и сертификатов на момент создания документа, наличие аккредитации удостоверяющего центра, выдавшего сертификат;
  • проверять, все ли сертификаты, задействованные при подписании электронного документа, отвечают требованиям нормативных актов;
  • проверять полномочия участников ЭДО;
  • создавать квитанции, которые будут отражать результаты проверки квалифицированной ЭП и информацию о моменте ее подписания;
  • оказывать услуги по хранению данных.

В законопроекте № 747528-7 не указано прямо, что эти услуги будут оказывать на коммерческой основе. Скорее всего, за них придется платить, если организация хочет максимально обезопасить работу с ЭП.

Доверенные третьи стороны будут получать аккредитацию и нести ответственность за неисполнение своих обязанностей или нарушение порядка исполнения функций.

Изменение 3: ужесточатся требования к УЦ

Срок действия аккредитации УЦ вместо пяти лет составит три года. Аккредитации, полученные УЦ до 01.01.2020, будут действовать до 01.01.2022. Соответственно, квалифицированные сертификаты, выданные УЦ до 01.07.2020, будут действовать до 01.01.2022.

Чтобы получить аккредитацию по новым правилам, УЦ должен отвечать более жестким требованиям:

  • иметь минимум 1 млрд руб. собственных средств (капитала) или 500 млн. руб. капитала, но при этом один либо несколько филиалов или представительств не менее чем в 3/4 субъектов России;
  • иметь финансовое обеспечение ответственности за убытки, причиненные третьим лицам в размере не менее 100 млн. руб. (сейчас это 30 млн. руб.);
  • иметь лицензию на деятельность по производству, разработке и распространению шифровальных (криптографических средств), выполнению работ в области шифрования, техническому обслуживанию средств шифрования и т.п.;
  • деловая репутация директора и учредителей УЦ должна соответствовать требованиям, установленным правительственной комиссией.

Изменение 4: изменятся правила выдачи и применения ЭП

В Федеральный закон № 63-ФЗ вводят новые статьи 17.1 – 17.6, регулирующие использование квалифицированной ЭП физическими лицами, гражданскими и муниципальными служащими, индивидуальными предпринимателями, организациями, государственными органами и органами местного самоуправления, а также использование ЭП в государственных информационных системах. Действие новых статей вступят в силу с 01.01.2021.

В Схеме отображено, где заявители смогут получить ЭП.

Изменения вступят в силу позже, поскольку требуют технической подготовки и модернизации IT-систем.

Анализируя сроки внедрения новых положений законодательства, действия прежних аккредитаций УЦ и выданных ими квалифицированных сертификатов, переходный период, во время которого будут внедряться изменения, продлится до 2022 года. Этого времени должно хватить для того, чтобы и УЦ, и государственные структуры, и, конечно, организации подготовились работать по новым правилам.

Выбор сертификата ключа проверки электронной подписи

Выделяют квалифицированный и неквалифицированный сертификаты ЭЦП. Их различие в первую очередь состоит в функциональности. К примеру, электронную подпись с неквалифицированным сертификатом могут применить либо физлица — при работе с личным кабинетом налогоплательщика, либо фирмы-поставщики — при участии в электронных торгах.

Электронная подпись с квалифицированным сертификатом имеет более широкий спектр действия: начиная со входа на портал Госуслуг и заканчивая подписанием любых юридически значимых документов, не требующих обязательного бумажного оформления с ручной подписью.

Как получить сертификат проверки ЭЦП

Электронный обмен документами между компаниями и госструктурами набирает все больший оборот, поскольку значительно сокращает время передачи документации. Для придания юридической значимости передаваемой информации стороны электронного документооборота (ЭДО) подписывают файлы своими электронно-цифровыми подписями (ЭЦП). Документ, заверенный ЭЦП, приравнен к бумажному носителю, завизированному уполномоченным лицом. Регламентирует процедуру получения и использования ЭЦП закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ, который предусматривает следующие виды ЭЦП: простую и усиленную.

Алгоритм получения простой ЭЦП см. в материале «Как сделать простую электронную подпись?».

Усиленная подпись, в свою очередь, может быть неквалифицированной и квалифицированной.

В чем их отличие, узнайте из статьи «Чем отличаются два основных типа электронных подписей?».

Чтобы начать пользоваться усиленной ЭЦП, нужно получить сертификат электронной подписи (точнее — ключа проверки ЭЦП) в удостоверяющем центре (УЦ), аккредитованном Минкомсвязи РФ. Как правило, сертификат записывается на специальный USB-накопитель, который является его хранилищем. Однако может выдаваться и на бумажном носителе.

Для получения сертификата физлицам необходимо предоставить в УЦ пакет документов:

  1. Копию паспорта владельца ЭЦП.
  2. Копии СНИЛС и ИНН.
  3. Заявление о получении сертификата ключа проверки ЭЦП.

Юрлица и ИП представляют:

  1. Свидетельство ИНН.
  2. Выписку ЕГРЮЛ (ЕГРИП).
  3. Документ, подтверждающий право лица действовать от имени хозсубъекта (приказ о назначении директора на должность, доверенность на право подписи юридически значимых документов).
  4. Если сертификат получает уполномоченный представитель, то ему необходимо представить доверенность на право получения сертификата ЭЦП, заверенную печатью предприятия и подписями руководителя и владельца сертификата (если это разные лица).
  5. Иные документы (список следует уточнить в УЦ).

УЦ также выдают и неквалифицированные сертификаты, которые используются для подписания документов при участии в электронных торгах.

Просмотр сертификатов через консоль управления

Это ещё один встроенный в Windows инструмент, позволяющий на компьютере найти ключ ЭЦП.

Для просмотра сертификатов через консоль управления необходимо выполнить:

  • запустить командную строку (нажать комбинацию клавиш Win+R, ввести «cmd» и нажать клавишу Enter);
  • ввести в терминале команду mmc и нажать Enter;
  • кликнуть на «Файл» и выбрать «Добавить или удалить оснастку»;
  • выбрать «Добавить», затем «Добавить изолированную оснастку»;
  • выбрать «Сертификаты».

Затем также можно выбрать просмотр сертификатов по определенной учетной записи, зарегистрированной в Windows. Чтобы таким методом найти ЭЦП на компьютере также нужно обладать правами администратора.

Через MMC (Просмотр сертификатов в консоли управления) также можно добавлять, удалять, копировать контейнеры с электронной подписью (включая сертификат удостоверяющего центра), но далеко не всем такой метод покажется удобным, так как некоторые команды также придется вводить именно через командную строку. Данный инструмент больше подходит для использования системными администраторами, когда через сервер выполняется настройка прав доступа всех подключенных компьютеров.

Кто выдает сертификаты ЭЦП

Как уже упоминалось, сертификаты ключей проверки ЭЦП выдают УЦ, а квалифицированные сертификаты — лишь аккредитованные УЦ. Согласно п. 1 ст. 13 Закона, в обязанности УЦ входит создание и выдача сертификатов заявителям при условии установления их личности и полномочий, если это необходимо.

В силу своих функциональных полномочий УЦ:

  • устанавливает срок действия сертификата;
  • аннулирует сертификаты в случае необходимости;
  • ведет реестр выданных и аннулированных сертификатов, внося в него сведения, которые указываются в данных документах;
  • определяет порядок ведения реестра неквалифицированных сертификатов и доступа к нему;
  • исходя из имеющихся в реестре данных осуществляет проверку уникальности ключей проверки ЭЦП;
  • проверяет подлинность ЭЦП при обращении участника электронного документооборота.

УЦ обязан:

Подпишитесь на рассылку

  • информировать своих клиентов — владельцев ЭЦП об условиях использования подписи, связанных с этим рисках и мерах обеспечения безопасности ЭЦП;
  • актуализировать сведения, содержащиеся в реестре сертификатов, защищать их от неправомерного доступа, блокирования, уничтожения;
  • безвозмездно предоставлять доступ к информации, содержащейся в реестре сертификатов, лицу при его обращении в установленном порядке, в т. ч. касающейся аннулирования сертификата;
  • отказать заявителю в создании сертификата, если есть сомнения, что он действительно является владельцем ЭЦП и у него есть достаточные полномочия, ключ проверки не соответствует ключу ЭЦП или есть сведения из реестра о неуникальности ключа.

УЦ не могут в сертификате ключа проверки своего клиента указывать ключ проверки, выданный ему другим УЦ (п. 2.1 ст. 13 Закона). При выдаче квалифицированного сертификата информация о заявителе (номер сертификата, срок его действия, название УЦ) отправляется в единую систему аутентификации и идентификации (п. 5 ст. 18 Закона). Регистрация заявителя в указанной единой системе осуществляет бесплатно по его желанию.

Согласно п. 6 ст. 13 Закона, в случае ликвидации УЦ обязан уведомить за 1 месяц своих заявителей о данном событии. После прекращения деятельности УЦ вся содержащаяся в реестре сертификатов информация уничтожается. Если УЦ прекращает свою деятельность, но передает свои функции другим лицам, об этом также за 1 месяц до предполагаемого события должны быть уведомлены все заявители. После ликвидации УЦ вся информация, содержащаяся в реестрах, передается в таком случае другому лицу.

Образец сертификата

Это пример декодированного сертификата SSL / TLS, полученного с веб-сайта SSL.com. Общее имя эмитента (CN) отображается как , что указывает на сертификат расширенной проверки (EV). Подтвержденная информация о владельце сайта (SSL Corp) находится в поле. Поле содержит список доменных имен , охватываемых сертификат. И поля показать все соответствующие виды использования.

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            72:14:11:d3:d7:e0:fd:02:aa:b0:4e:90:09:d4:db:31
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=Texas, L=Houston, O=SSL Corp, CN=SSL.com EV SSL Intermediate CA RSA R3
        Validity
            Not Before: Apr 18 22:15:06 2019 GMT
            Not After : Apr 17 22:15:06 2021 GMT
        Subject: C=US, ST=Texas, L=Houston, O=SSL Corp/serialNumber=NV20081614243, CN=www.ssl.com/postalCode=77098/businessCategory=Private Organization/street=3100 Richmond Ave/jurisdictionST=Nevada/jurisdictionC=US
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:ad:0f:ef:c1:97:5a:9b:d8:1e ...
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier: 
                keyid:BF:C1:5A:87:FF:28:FA:41:3D:FD:B7:4F:E4:1D:AF:A0:61:58:29:BD

            Authority Information Access: 
                CA Issuers - URI:http://www.ssl.com/repository/SSLcom-SubCA-EV-SSL-RSA-4096-R3.crt
                OCSP - URI:http://ocsps.ssl.com

            X509v3 Subject Alternative Name: 
                DNS:www.ssl.com, DNS:answers.ssl.com, DNS:faq.ssl.com, DNS:info.ssl.com, DNS:links.ssl.com, DNS:reseller.ssl.com, DNS:secure.ssl.com, DNS:ssl.com, DNS:support.ssl.com, DNS:sws.ssl.com, DNS:tools.ssl.com
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.1
                Policy: 1.2.616.1.113527.2.5.1.1
                Policy: 1.3.6.1.4.1.38064.1.1.1.5
                  CPS: https://www.ssl.com/repository

            X509v3 Extended Key Usage: 
                TLS Web Client Authentication, TLS Web Server Authentication
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://crls.ssl.com/SSLcom-SubCA-EV-SSL-RSA-4096-R3.crl

            X509v3 Subject Key Identifier: 
                E7:37:48:DE:7D:C2:E1:9D:D0:11:25:21:B8:00:33:63:06:27:C1:5B
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            CT Precertificate SCTs: 
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : 87:75:BF:E7:59:7C:F8:8C:43:99 ...
                    Timestamp : Apr 18 22:25:08.574 2019 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:44:02:20:40:51:53:90:C6:A2 ...
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : A4:B9:09:90:B4:18:58:14:87:BB ...
                    Timestamp : Apr 18 22:25:08.461 2019 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:20:43:80:9E:19:90:FD ...
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : 55:81:D4:C2:16:90:36:01:4A:EA ...
                    Timestamp : Apr 18 22:25:08.769 2019 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:21:00:C1:3E:9F:F0:40 ...
    Signature Algorithm: sha256WithRSAEncryption
         36:07:e7:3b:b7:45:97:ca:4d:6c ...

Ключ проверки электронной подписи: что это такое

Электронная цифровая подпись является высокотехнологичным продуктом, который призван решать 2 задачи.

  • Он обеспечивает конфиденциальность и целостность документооборота, который совершается в электронном виде. Заверенные в онлайн-формате документы обладают полной юридической силой. Использование таких методов приобретает все большую актуальность в товарно-денежных отношениях.
  • Также их применяют в судебных разбирательствах, бизнесе, налоговых органах.

Электронная подпись применяется для совершения документооборота
Обратите внимание! Само понятие такой подписи заключается в наборе данных, которые включают определенные реквизиты. Они бывают обязательными и необязательными.

Понятие ЭП и виды ключей

Электронная подпись представляет собой реквизит документа, который позволяет подтвердить принадлежность владельцу. С ее помощью удается зафиксировать состояние сведений в документе с момента его подписания.

В статьях законов РФ сказано, что это эквивалент подписи, которая проставляется от руки. Для нее характерна полная юридическая сила. Помимо квалифицированной, существуют такие разновидности ЭЦП:

  • Неквалифицированная — делает документ юридически значимым, но только при заключении дополнительных договоров между сторонами. В них указаны правила использования электронной подписи. Благодаря этому удается доказать авторство бумаги и проследить за ее подписанием.
  • Простая — не наделяет документ юридической значимостью до заключения дополнительных договоров между участниками относительно правил применения подписи. Она не обеспечивает неизменность документа с момента подписания, но дает возможность подтвердить его авторство. Использование такого варианта недопустимо при работе с государственной тайной.

Понятие ключа ЭЦП включает неповторяемую комбинацию символов, с помощью которых образуется подпись. В Федеральном законе есть и другое определение этого термина. Он выглядит как неповторяемая комбинация символов, которая связана с ключом ЭЦП. Его целью считается оценка подлинности подписи.

Каким ключом проверяется электронная подпись

Существует 2 вида ключей — закрытый и открытый. В первое понятие входит уникальная последовательность символов, которые образуют подпись. Закрытый ключ находится на ключевом носителе — токене. Его защиту обеспечивает пароль, который известен только владельцу.

Важно! После выдачи токена в центре необходимо сменить заводской пароль на свой личный и обеспечить ему тщательное хранение. Благодаря этому удастся избежать подделок

Потеря или кража устройства хранения информации может быть сразу выявлена владельцем. Это дает ему возможность своевременно отозвать сертификат. Наиболее безопасным вариантом считается хранение на смарт-карте. Ее применение подразумевает использование двухфакторной аутентификации. Потому скопировать с устройства сведения весьма сложно.

При этом токены считаются более универсальными. Это обусловлено возможностью их применения на любом устройстве, которое имеет USB-порт.

Для хранения ключей можно применять токены

Открытый ключ находится в доступе для пользователей системы. Он нужен для проверки подписи. Благодаря открытому ключу ЭЦП получатель документа имеет возможность оценить его авторство. Также это средство применяется для контроля неизменности содержания после подписания.

Оценить соответствие подписи сертификату помогает реестр, который принадлежит Единому удостоверяющему центру. Он представляет собой библиотеку, в которой присутствуют сведения обо всех криптосистемах, которые были выданы. Благодаря этому удается легко проверить подлинной ЭЦП по ее доступному ключу.

Такая технология гарантирует высокую степень защиты электронного документооборота. С ее помощью удается обеспечить безопасность элемента криптосистемы от появления подделок. За счет этого проводимые сделки не пострадают от атак мошенников.

Доступ к открытому ключу является публичным. Это значит, что им может пользоваться любой человек. Выдача такой части ЭЦП проводится удостоверяющим центром. Его функции заключаются в создании секретной части криптосистемы, пользовательского сертификата и заверении их аутентичности. Чтобы вести учет выданных сертификатов, управляющий центр ведет особый реестр.

В список задач, которые выполняются органом, входят отзывы сертификатов, которые закончили действие или были скомпрометированы. После чего организация обновляет имеющуюся базу.

Доступ к открытому ключу можно получить в реестре управляющего центра

Как удалить старые сертификаты ЭЦП

Удалить старые сертификаты ЭЦП будет намного проще, чем установить или обновить новые. Для этого нужно зайти в программу «Сертификаты» через меню «Пуск» — «Программы» — «Крипто-Про», открыть подпапку «Личное», выбрать старый сертификат, нажать правой клавишей мыши и из появившегося меню выбрать функцию «Удалить». Сертификат будет удален.

Но специалисты не рекомендуют этого делать, так как устаревшие сертификаты могут понадобиться для просмотра ранее подписанных документов и отчетов. Например, при удалении старых сертификатов просмотреть отчеты и письма, переданные с их помощью через ТКС, уже будет нельзя. И придется обращаться в аккредитованные центры с просьбой предоставить удаленные сертификаты.

Чтобы старые сертификаты сохранились в электронном виде, но и не появлялись в списке действующих сертификатов, достаточно вместо удаления сертификата открыть его двойным щелчком левой клавиши мыши и в появившемся окне на вкладке «Состав» нажать на кнопку «Свойства». В новом окошке переставить точечку на «Разрешить только следующие назначения» и убрать галочку «Проверка подлинности клиента». Таким образом старый сертификат сохранится, но и мешать при использовании действующих сертификатов уже не будет.

Перевыпуск сертификата ЭЦП

Иногда возникают ситуации, когда владелец электронной подписи теряет USB-носитель, меняет свои личные или юридические реквизиты или же законодательство вносит изменения в требования к электронным подписям. В таких случаях понадобится перевыпуск сертификата. В большинстве случаев эта услуга предоставляется удостоверяющими центрами на платной основе. И лишний раз менять реквизиты или терять USB-ключи финансово невыгодно. Правда, некоторые удостоверяющие центры предлагают услугу «Сопровождение сертификата», которая позволяет до определенного числа за период действия сертификата перевыпускать его за более низкую стоимость.

В случае перевыпуска сертификата ЭЦП просто обновить его не получится — придется устанавливать заново. Для установки нового сертификата понадобится программа КриптоПро CSP, находящаяся в меню «Пуск» — «Настройки» — «Панель управления». В этой программе на вкладке «Сервис» установить новый сертификат можно либо через кнопку «Просмотреть сертификаты в контейнере…», либо через кнопку «Установить личный сертификат…». Далее нужно следовать указаниям программы. Дополнительно можно воспользоваться подробными инструкциями, предоставляемыми сайтами аккредитованных центров.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий