Квалифицированная электронная подпись - личная практика.

Квалифицированная электронная подпись

В этой статье мы расскажем о квалифицированной электронной подписи (далее КЭП), столь «любимой» госорганами и ФСБ, а также о личной практике, плюсах и минусах применения.

Краткая вводная часть:

Квалифицированная электронная подпись по ГОСТ Р34.10-2012 создаётся криптографическими средствами, аттестованными ФСБ РФ.

Квалифицированная электронная подпись в соответствии с требованиями 63-ФЗ «Об электронной подписи» по умолчанию признаётся собственноручной подписью без каких-либо дополнительных условий между участниками электронного взаимодействия.

Выпускают квалифицированные электронные подписи аккредитованные удостоверяющие центры в Минкомсвязи РФ.

Квалифицированные электронные подписи предоставляются как правило в двух видах: хранящимися в облаке аккредитованного удостоверяющего центра или хранящимися в личном криптографическом контейнере в виде флэшки.

Типовые условия для КЭП:

1. КЭП выдаётся только при личном посещении представителя аккредитованного удостоверяющего центра и при предъявлении удостоверяющих документов личности по списку.
2. Как правило, КЭП выдаётся на физическом носителе в виде флэшки.
3. Для использования КЭП необходимо приобрести лицензионную программу КриптоПро и установить на ПК. 1 лицензия – 1 ПК.
4. Для подписания электронных документов необходимо зарегистрироваться у оператора электронного документооборота (далее ЭДО) и при необходимости оплатить пакет исходящих документов. Потребуется E-mail, номер телефона и КЭП.
5. Подразумевается, что при наличии КЭП и подключении к ЭДО Вы и Ваш партнёр автоматически становятся участниками электронного взаимодействия.

Один из сценариев применения:

Рассмотрим сценарий применения КЭП, когда Вы её приобрели, но не подключились к стороннему ЭДО и желаете использовать КЭП для подписания электронных документов с Вашим партнёром или клиентом используя самые простые и доступные методы.

Для использования КЭП необходимо будет пройти регистрацию на сайте КриптоПро и скачать программу КриптоПро CSP, которая позволит Вам работать с КЭП без оплаты лицензии в течение 3 месяцев.

С помощью программы КриптоПро CSP можно подписывать любые электронные документы и проверять электронную подпись.

Ниже показаны скриншоты создания электронной подписи по выбранному электронному документу.

Создание электронной подписи

Что получилось при подписании электронного документа в формате PDF:

1. Электронный документ подписан квалифицированной электронной подписью (это видно только в программе КриптоПро CSP).
2. Программа КриптоПро CSP сформировала файл электронной подписи электронного документа.
3. Файл электронной подписи сохранился в той же папке, что и подписанный электронный документ.

С первого взгляда кажется, что электронный документ подписан КЭП, однако в реальности мы создали файл электронной подписи в результате подписания электронного документа и как будет показано дальше, это не одно и то же.

В соответствии с 63-ФЗ «Об электронной подписи» электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Что же получается: мы подписали электронный документ КЭП, что можно увидеть в одинаковом наименовании исходного файла электронного документа и наименования сформированного файла электронной подписи, которые, визуально, между собой связаны иным образом, а именно одинаковым наименованием файлов электронного документа и электронной подписи.

Для бизнеса важен не только факт подписания документа, но и сохранность документа в первоначальном виде после подписания, для электронного документа это называется – проверка целостности.

Итак, у нас имеется подписанный электронный документ в формате PDF, однако открыв этот документ в бесплатной программе Adobe Acrobat Reader DC, мы не обнаруживаем каких-либо сообщений о том, что электронный документ имеет электронную подпись.

Подписанный электронный документ

После изменения электронного документа PDF (выделение текста жёлтым маркером) проверяем файл электронной подписи на наличие изменений в электронном документе и проверка показывает, что подпись успешно проверена.

Проводим такие же операции с документом Word: подписываем КЭП, получаем файл электронной подписи, изменяем текст подписанного документа, проверяем файл электронной подписи и получаем тот же результат – подписанный документ изменён, подпись успешно проверена.

Что же произошло? Дело в том, что мы документ подписали, однако явным образом электронный документ и электронную подпись между собой не связали и соответственно проверить целостность подписанного электронного документа квалифицированной электронной подписью простыми способами мы не можем (((

Краткие выводы:

1. Наличие КЭП не гарантирует быстрое и удобное подписание электронных документов квалифицированной электронной подписью.
2. Для всех участников электронного взаимодействия (электронное подписание документов) должна быть доступна простая технология проверка целостности подписанного электронного документа и проверка электронной подписи. С КЭП не так всё просто и однозначно.
3. Вы и Ваш партнёр должны использовать одинаковые программные продукты и методы для того чтобы доверять подписанному электронному документу с помощью КЭП.
4. Скорее всего Вам и Вашему партнёру придётся регистрироваться в одной и той же облачной системе ЭДО по обмену электронными документами.
5. Настоятельно рекомендуем, даже для квалифицированной электронной подписи сформировать и подписать Соглашение об электронном взаимодействии, в котором прописаны все правила и методы для подписания, проверки целостности электронных документов и т.д.
6. Если смотреть по взаимодействию с госорганами, то применение КЭП это наиболее удобный вариант передачи различных документов и запросов.

Минусы КЭП:

1. Получение КЭП требует минимум несколько часов личного времени и поход к представителю аккредитованного удостоверяющего центра.
2. Процедуру получения КЭП необходимо повторять каждый год как для Вас так и для Ваших партнёров. Может возникнуть ситуация, когда Вы или Ваши партнёры не могут выделить время на поход к представителю аккредитованного удостоверяющего центра.
3. Обязательная покупка лицензии КриптоПро для ПК, для 2 ПК – 2 лицензии и т.д.
4. Автоматизированное подписание электронного документа сторонами без специализированной информационной системы или без подключения к оператору ЭДО невозможно.
5. При подписании КЭП электронного документа формируется архив из нескольких файлов, которые могут быть случайно утеряны.
6. Участники электронного взаимодействия должны быть подключены только к конкретной информационной системе.

О том, что является самым главным для электронной подписи мы писали предыдущей статье.

Статьи на тему:

Электронная подпись. Что в ней самое главное?

Следующие статьи про использование электронной подписи в практике бизнеса:

AvisSIGN – в чём прелесть сервиса. Деловые практики.

Усиленная электронная подпись – личная практика использования.

Простая электронная подпись – личная практика использования.

Применение простой электронной подписи в корпоративном ЭДО + AvisHASH.

AvisHASH – публичный сервис проверки целостности электронных документов.

Вячеслав Л.